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Compactadores, Empacotadores e 
Procedimentos de Backup 


2.1 Introduçäo Teorica 


A compressão e empacotamento de arquivos e diretórios é muito importante em 
qualquer sistema computacional. Ambos os procedimentos são necessários desde 
o ponto de vista de distribuição de softwares, de economia de banda e de espaço 
de armazenamento, e de backup do sistema. Veremos neste capítulo o principal 
programa de empacotamento GNU/Linux e os dois principais compactadores. 


A forma mais conhecida de realizar compressão e empacotamento em ambiente 
Windows é utilizando o programa “Winzip”. Um programa que “zipa” um arquivo, 
ou diversos arquivos, na realidade está realizando dois procedimentos distintos: Em- 
pacotar e comprimir. 


Em ambientes “Unix-like”, essas duas tarefas são realizadas de forma logicamente 
distintas. 


O programa “tar”, cujo nome deriva de “tape archiver”, realiza a tarefa de conca- 
tenar todos os arquivos e diretórios preservando as informações do “filesystem”, isto 
é, seus meta-dados. 


Criado com propósito de backup em dispositivos de acesso sequencial (unidades 
de fita), o “tar” é utilizado hoje em dia como uma ferramenta de empacotamento, 
podendo ser utilizado em conjunto com compactadores como “gzip” ou “bzip2”. 
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A utilização da ferramenta “tar” é bastante simples. Seguindo o filosofia Unix “faça 
apenas uma tarefa, mas faça bem feito”, o “tar” é um programa especialista em em- 
pacotar vários arquivos. Dessa forma, quando utilizamos os parâmetros “z” ou “j” es- 
tamos na realidade fazendo uma chamada externa aos comandos “gzip” ou “bzip2”, 


especialistas em compressão de dados. 


Outros programas que trabalham de forma análoga ao “tar” são o “dump” e “cpio”. 
Ambos foram criados com a mesma finalidade, mas são pouco utilizados hoje em dia, 
pois não são tão versáteis quanto o “tar”. 


Este capítulo explica muitas coisas sobre compactação e empacotamento de arqui- 
vos, tudo isso é extremamente necessário quando falamos de “backup”. Podemos 
ter diferentes tipos de “backup”, são eles: 


* Incremental - O “backup” incremental visa salvar apenas as diferenças em re- 
lação ao ultimo “backup” completo, por exemplo: Um “backup” completo acon- 
tece no domingo. O incremental salvará os dados de domingo para segunda, 
de domingo para terça, de domingo para quarta, de domingo para quinta, de 
domingo para sexta e de domingo para sábado, ou seja, até chegar no próximo 
“backup” completo. 


Diferencial -Diferente do incremental, o diferencial, faz apenas os incrementos, 
assim gerando um volume menor de dados. Se o “backup” completo foi gerado 
no domingo, ele salva de domingo para segunda, de segunda para terça, de 
terça para quarta e assim até o próximo “backup” completo chegar. 


Completo - Visa salvar todos os dados, mesmo o que já foram salvos anterior- 
mente, assim fazendo um “backup” completo de todos os objetos em questão. 


Conhecendo os tipos de “backup”, vamos conhecer algumas ferramentas que podem 
nos ajudar. 


Crie o diretório de backup para os nosso testes: 
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# mkdir /backup 


2.2 O empacotador cpio 


O comando cpio empacota arquivos/diretórios, suas principais opções são: 

-i -> extrair backup 

-O -> criar backup 

-t -> mostrar uma tabela com o conteúdo do backup 

-F -> essa opção especifica o arquivo de backup 

-d -> cria diretórios se necessário 

-v -> mostrar o que está fazendo em detalhes 

-U -> sobrescreve arquivos existentes Então, vejamos os principais grupos de op- 


ções e como utilizá-las. Para empacotar o conteúdo do diretório “/etc” com o “cpio” 
devemos fazer o seguinte: 


# find /etc | cpio -ov > /backup/pacote.cpio 


O comando acima empacotará todos os objetos da saída do comando “Is /etc”. Para 
visualizar seu conteúdo: 


# cpio -iv --list < /backup/pacote.cpio 
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Vamos renomear o diretório “/etc” para “/etc.old” : 
# mv /etc /etc.old 
Restaure o backup do /etc: 


# cpio -iv < /backup/pacote.cpio 
# ls /etc 


Adicione arquivos ao pacote.cpio ja criado: 

# find /boot | cpio -ov -A -F /backup/pacote.cpio 
Para visualizar seu conteüdo: 

# cpio -iv --list < /backup/pacote.cpio 

Adicione um usuario chamado inexistente: 

# useradd inexistente 

Verifique que ele foi criado no arquivo /etc/passwd: 

# tail -n1 /etc/passwd 


O comando cpio somente volta os arquivos, caso ele nao exista ou ele seja mais 
recente que o atual: 
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# cpio -iv < /backup/pacote.cpio 


Verifique que os arquivos não foram alterados, pois as datas são mais atuais ou as 
mesmas dos arquivos no pacote: 


# tail -n1 /etc/passwd 


Para forçar a restauração faça: 


# cpio -iuv < /backup/pacote.cpio 


Verifique que não existe mais o usuário “inexistente”: 


# tail -n1 /etc/passwd 


Remova o arquivo /etc/passwd: 


# rm -f /etc/passwd 


Restaure apenas o arquivo /etc/passwd: 


# cpio -ivF /backup/pacote.cpio /etc/passwd 
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2.3 O empacotador tar 


O que os compactadores como gzip e bzip2 nao conseguem fazer, o tar (Tape Archi- 
ves) faz. Ele é um aplicativo capaz de armazenar vários arquivos em um só. Porém, 
não é capaz de compactar os arquivos armazenados. Como é possível notar, o tar 
serve de complemento para os compactadores e vice-versa. Por isso, foi criado um 
parâmetro no tar para que ambos os programas possam trabalhar juntos. Assim, o 
tar "junta"os arquivos em um só e este arquivo, por sua vez, é então compactado por 
um dos compactadores suportados pelo tar. 


O tar também consegue gravar a propriedade e as permissões dos arquivos. Ainda, 
consegue manter a estrutura de diretórios original (se houve compactação com dire- 


tórios), assim como as ligações diretas e simbólicas. 


A sintaxe do TAR é: 


tar [parâmetros] [-f arquivo] [-C diretório] [arquivos...]. 


Abaixo, segue a lista dos principais parâmetros: 


-c -> Cria UM novo arquivo tar; 


-p -> mantém as permissões originais do(s) arquivo(s); 


-r -> acrescenta arquivos a um arquivo tar; 


-t -> exibe o conteúdo de um arquivo tar; 


-v -> exibe detalhes da operação; 


-X-> extrai arquivos de um arquivo tar; 
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* -Z -> comprime ou extrai arquivos tar resultante com o gzip; 

e -j -> comprime ou extrai arquivos tar resultante com o bzip2; 

e -f -> especifica o arquivo tar a ser usado; 

e -C -> troca de diretório, para local de armazenamento ou restauração de dados. 


Vamos empacotar o diretório “/etc” e “/usr”: 


# tar -cvf /backup/etc.tar /etc 


# tar -cvf /backup/usr.tar /usr 


Verifique o tamanho do pacote “usr.tar”: 


# du -sh /backup/usr.tar 


Podemos utilizar parâmetros para reduzir o tamanho do pacote, através de com- 
pactadores como gzip e bzip2. Vamos observar o tempo com o comando time e o 
tamanho dos dois compactadores para vermos suas vantagens e desvantagens. 


Empacotando e compactando com gzip o diretorio “/usr”: 


# time tar -zcvf /backup/usr.tar.gz /usr 


Empacotando e compactando com bzip2 o diretorio “/usr”: 


# time tar -jcvf /backup/usr.tar.bz2 /usr 
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Podemos observar que o compactador gzip é mais rapido que o bzip2, mas qual 
deles fez a melhor compactação: 


# du -sh /backup/usrx 


O bzip2 faz a melhor compactação, mas em compensação leva um tempo maior que 
o gzip. Para visualizar o conteúdo dos pacotes tar faça: 


tar -tf /backup/usr.tar.gz 
tar -tf /backup/usr.tar.bz2 
tar -tf /backup/usr.tar 
tar -tf /backup/etc.tar 


+ + + + 


Para adicionar arquivos ao pacote já criado utilize o parâmetro “-r’, mas somente é 
possível em pacotes que ainda não foram compactados: Crie um arquivo chamado 
“aaaaaaaaaaaaaaaaaaa” em /etc: 


# touch /etc/aaaaaaaaaaaaaaaaaaa 


Adicione ao tar criado: 


# tar -rf /backup/etc.tar /etc/aaaaaaaaaaaaaaaaaaa 


Visualize: 


# tar -tf /backup/etc.tar 


Vamos acessar o diretório /oackup e descompactar o “/usr” feito com gzip: 
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# cd /backup 


# tar -zxvf usr.tar.gz 


Verifique que o pacote compactado foi descompactado no diretório atual e não na 
raiz: 


Para determinar qual vai ser o ponto inicial para descompactar o pacote utilize o 
parâmetro “-C”. Descompacte o pacote feito com bzip2 no diretório /mnt: 


# tar -jxvf usr.tar.bz2 -C /mnt 

Verifique o diretório /mnt: 

# ls /mnt 

Agora delete o diretório /etc: 

# rm -rf /etc 

Volte o backup feito com o tar a partir do diretório “/”: 
# tar xvf etc.tar -C / 

Verifique: 


Linux System Administration Pagina 11 


2.4 Compactadores GZIP, BZIP2 4Linux — www.4linux.com.br 


# ls /etc 


2.4 Compactadores GZIP, BZIP2 


Compressão de dados é o processo de codificar a informação de forma que seja pos- 
sível armazená-la em um número menor de “bits”. Por exemplo, se definíssemos que 
a palavra “compressão” passaria a ser abreviada por “comp”, estaríamos diminuindo 
o número de “bits” necessários para armazenar esta apostila. 


Entretanto, para que você pudesse entender o que “comp” significa seria necessário 
estar ciente dessa convenção ou seja, do algoritmo de compressão. 


Há dois tipos básicos de compressão, aquele em que não há perdas de informações 
e aquele em que elas ocorrem. Obviamente quando o assunto é “backup” de infor- 
mações vitais, devemos utilizar algoritmos sem perdas. Já em arquivos de imagens, 
vídeos e áudio, há casos que podemos nos dar ao luxo de perdas de informações 
em detrimento da qualidade, que em geral é praticamente imperceptível para os não 
especialistas da área. 


Os principais programas de compressão que utilizaremos são o “bzip2” e “gzip” . O 
“bzip2” utiliza os algoritmos “Burrows-Wheeler transform” e “Huffman coding”; já o 
“gzip” utiliza os algoritmos “LZ77” e “Huffman coding”. Todos esses algoritmos fazem 
parte do grupo dos algoritmos que não ocasionam perdas de dados. 


A forma de utilização desses comandos é bastante simples. Para o “gzip”, “bzip2”, 
basta fornecer o arquivo de entrada que a compressão se dará no próprio arquivo. 
Eis uma diferença entre o “tar” e esses programas, ele recebe dois argumentos, os 
arquivos de entrada e o arquivo de saída, ou seja, aqueles a serem empacotados e 
comprimidos. 


Verifique que não é possível compactar um diretório sem empacotá-lo antes. Tente 
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com o “gzip” e com o “bzip2”: 


# gzip etc 
# bzip2 etc 


À Para determinarmos qual o melhor compactador vamos analisar dois tipos de 
arquivos: texto puro e binario. Para isso vamos cria-los. 


Crie dois arquivos de texto puro. Abra o arquivo “texto1” no editor “vim” e insira uma 
linha contento os números de 0 a 9: 


# vim textol 
0123456789 


Ainda dentro do “vim”, copie essa linha e cole “250.000” vezes e salve o arquivo: 


<ESC> 


yy 
250000p 


IXI 
Crie uma cópia deste arquivo chamando-a de “texto2”: 
# cp textol texto2 


Crie um par de arquivos binários para nossos testes. Utilizaremos como base, o 
programa “aptitude”: 
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# cp /usr/bin/aptitude bin] 


Duplique esse arquivo: 


# cp binl bin2 


Verifique que foram criados quatro arquivos com tamanhos parecidos, aproximada- 
mente 2.4MB, sendo dois deles binários e dois texto puro: 


# ls -lh binx textox 


2.4.1 Gzip e Bzip2 com Arquivos de Texto 


Utilize a tabela “tab:comparacao1” para anotar os resultados obtidos nos testes com 
“gzip” e “bzip” em arquivos de texto puro: 


Tipo do Arquivo: texto puro Tamanho Original: 


ns GzP BZIP? 





v Vamos iniciar os testes com os arquivos texto. 


Determine o intervalo de tempo que leva para comprimir o arquivo “texto1” com 
“gzip”: 


Página 14 Linux System Administration 


4Linux — www.4linux.com.br 2.4 Compactadores GZIP, BZIP2 


# time gzip textol 


Determine o tamanho final do arquivo “texto1” após ser comprimido com “gzip”: 


# ls -lh textol.gz 


Determine o intervalo de tempo que leva para descomprimir o arquivo “texto1.gz”: 


# time gunzip textol.gz 


Vamos repetir os procedimentos utilizando o “bzip2”: Determine o intervalo de tempo 
que leva para comprimir o arquivo “texto2” com “bzip2”: 


# time bzip2 texto? 


Determine o tamanho final do arquivo “texto2” após ser comprimido com “bzip2”: 


# ls -lh texto2.bz2 


Determine o intervalo de tempo que leva para descomprimir o arquivo “texto2.bz2”: 


# time bunzip2 texto2.bz2 
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2.4.2 Gzip e Bzip2 com Arquivos Binarios 


Utilize a tabela “tab:comparacao2” para anotar os resultados obtidos nos testes com 
“gzip” e “bzip” em arquivos binarios: 


Tipo do Arquivo: binario Tamanho Original: 


o GzP BZIP2 
Tamanho fina EE O 





Determine o intervalo de tempo que leva para comprimir o arquivo “bin1” com “gzip”: 
# time gzip binl 
Determine o tamanho final do arquivo “bin1” após ser comprimido com “gzip”: 
# ls -lh binl.gz 
Determine o intervalo de tempo que leva para descomprimir o arquivo “bin1.gz”: 
# time gunzip binl.gz 


Vamos repetir os procedimentos utilizando o “bzip2”: Determine o intervalo de tempo 
que leva para comprimir o arquivo “bin2” com “bzip2”: 


# time bzip2 bin2 
Determine o tamanho final do arquivo “bin2” após ser comprimido com “bzip2”: 
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# ls -lh bin2.bz2 
Determine o intervalo de tempo que leva para descomprimir o arquivo “bin2.bz2”: 


# time bunzip2 bin2.bz2 


2.5 Comando dd 


O comando “dd” tem a capacidade de copiar “bit a bit”. Segue um exemplo de seu 
uso: FAZER PARTIÇÃO MENOR E COPIAR 


# dd if=/dev/sda3 of=/dev/sdal1 


O comando acima efetuará a clonagem da partição “sda3”, para a partição “sda1 1”. 


À Cuidado com o comando “dd”, qualquer falta de atençäo pode danificar o sis- 
tema, de forma irrecuperavel. 

Onde: 

if=/dev/sda3 

O nome do arquivo de entrada. 


of=/dev/sda11 
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Backup com ferramentas XFS 


3.1 Introdução Teórica 


O XFS é um sistema de arquivos de alta performance com suporte a journaling, que 
teve origem na plataforma IRIX da SGI. É completamente multi-processo, e pode 
suportar grandes sistemas de arquivos com atributos estendidos, tamanho de blocos 
variável. O XFS é baseado em extents e utiliza bem o uso de Btrees (diretórios, 
extensões, e espaço livre) para ajudar no ganho de performance e escalabilidade. 


3.2 Gerenciando backup em partições XFS 


Existem diversas ferramentas para gerenciar partições do tipo XFS, em nossa pratica 
vamos manipular a aplicação do sistema de arquivos, backup e restore no sistema 
de arquivos XFS. Antes de usar os comandos prepare sua infra adicionando um novo 
disco para o backup. Um novo disco sera usado em /dev/sdb para as tarefas, sendo 
que a primeira partição /dev/sdb1 deve conter 2GB e a segunda 6GB: 


Aplicando sistema de arquivos XFS 


O comando mkfs.xfs é usado para aplicar sistema de arquivos XFS em uma partição. 
O comando também pode ser usado com a flag -t como em “mkfs -t xfs”. 
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# mkfs.xfs /dev/sdb1 
ou 
# mkfs -t xfs /dev/sdb2 


Como a partição já possui o sistema de arquivos XFS, crie o ponto de montagem, 
monte a partição e faça a cópia de novos arquivos. 


# mkdir /media/xfs 
# mount -t xfs /dev/sdb1 /media/xfs 
# cp -R /var /media/xfs 


3.3 Gerar backup com xfsdump 


O comando xfsdump é utilizado para fazer backup de arquivos com seus atributos 
em um sistema de arquivos. O xfsdump examina os arquivos e determina quais 
precisam ser salvos (backup), e copia esses arquivos para um disco especificado, 
como fita magnética ou outra média de armazenamento. 


A ferramenta usa diretivas específicas do XFS para otimização, e também sabe como 
salvar os atributos extensos do XFS. Os backups criados pelo xfsdump são do tipo 
"endian safe"e assim podem ser transferidos entre máquinas Linux de diferentes ar- 


quiteturas e também entre máquinas IRIX. 


Crie um local para nosso backup em /media usando a segunda partição de 6GB 


# mkdir /media/backup 
# mount -t xfs /dev/sdb2 /media/backup 


Use o comando xfsdump para fazer o backup da partição /dev/sdb1 
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# xfsdump -1 0 -p 30 -f /media/backup/backup.0. dump /media/xfs 


xfsdump: using file dump (drive simple) strategy 


xfsdump: version 3.0.4 (dump format 3.0) - Running single-threaded 


please enter label for this dump session (timeout in 300 sec) 


-> backup (Digite o nome do rotulo e tecle Enter) 


session label entered: “backup” 


xfsdump: level O dump of debian:/media/xfs 

xfsdump: dump date: Thu Apr 26 16:05:12 2012 

xfsdump: session id: ce153353-0d33-4fc5-aa88-10274eeaff4b 
xfsdump: session label: “backup” 

xfsdump: ino map phase 1: constructing initial dump list 

xfsdump: ino map phase 2: skipping (no pruning necessary) 
xfsdump: ino map phase 3: skipping (only one dump stream) 
xfsdump: ino map construction complete 


xfsdump: estimated dump size: 171053504 bytes 


please enter label for media in drive O (timeout in 300 sec) 


-> quit (Digite o comando para sair do prompt do xfsdump) 


xfsdump: creating dump session media file O (media 0, file 0) 
xfsdump: dumping ino map 

xfsdump: dumping directories 

xfsdump: dumping non-directory files 

xfsdump: status at 16:05:46: 1/3842 files dumped, 0,0% data dumped, 
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34 seconds elapsed 


xfsdump: ending media file 

xfsdump: media file size 160228640 bytes 

xfsdump: dump size (non-dir files) : 158883080 bytes 
xfsdump: dump complete: 38 seconds elapsed 
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xfsdump: Dump Status: SUCCESS 


Opções utlizadas: 


e -l: Especifica um nível de dump de 0 a 9. O nível de dump determina o que 
sera armazenados no backup. Um dump de de nível O é absoluto onde todos 
os arquivos são armazenados. Um nível de dump 1 a 9 é referido como um 
dump incremental. Apenas os arquivos que foram alterados desde o dump de 
base (nivel 0) são despejados. 


e -p: Faz com que relatórios de progresso sejam impressos no intervalo espe- 
cificado (intervalo é dada em segundos). O relatório indica quantos arquivos 
foram despejadas, o número total de arquivos para descarregar, a porcenta- 
gem de dados, objeto de dumping, e o tempo decorrido. 


e -f: Especifica um destino de despejo. Um destino pode ser o caminho de um 


dispositivo (como uma unidade de fita), um arquivo regular ou uma unidade de 
fita remota. 


Onde foi parar o backup da partição /dev/sdb1? 

Como resultado do comando foi criado um arquivo com a extensão .dump no diretó- 
rio /media/backup. Através deste arquivo podemos restaurar o backup completo da 
partição /dev/sdb1. 


Como incrementar o backup com apenas arquivos alterados? 


Primeiro faça uma alteração na partição gravando um novo arquivo ou alterando 
arquivos já gravados. 
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# echo "Esta é uma nova alteração” >> /media/xfs/var/log/mail.log 


Use o comando xfsdump para criar um backup do conteudo alterado (backup incre- 
mental) 


# xfsdump -l 1 -p 30 -f /media/backup/backup.1.dump /media/xfs 


xfsdump: using file dump (drive_simple) strategy 

xfsdump: version 3.0.4 (dump format 3.0) - Running single-threaded 

xfsdump: level 1 incremental dump of debian:/media/xfs based on 
level 0 dump begun 

xfsdump: dump date: Thu Apr 26 16:40:17 2012 

xfsdump: session id: ff2f5ed8-977c-417e-8538-40513baf6939 

xfsdump: session label: “backup” 

xfsdump: ino map phase 1: constructing initial dump list 

xfsdump: ino map phase 2: pruning unneeded subtrees 

xfsdump: ino map phase 3: skipping (only one dump stream) 

xfsdump: ino map construction complete 


xfsdump: estimated dump size: 38464 bytes 


please enter label for media in drive 0 (timeout in 300 sec) 
-> backup (Digite o nome do rotulo e tecle Enter) 


media label entered: "backup" 


SSSA SSeS SRS endiidiados CCC i 
xfsdump: creating dump session media file 0 (media 0, file 0) 
xfsdump: dumping ino map 
xfsdump: dumping directories 
xfsdump: dumping non-directory files 
xfsdump: ending media file 
xfsdump: media file size 33968 bytes 
xfsdump: dump size (non-dir files) : 10304 bytes 
xfsdump: Dump Status: SUCCESS 
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Como resultado do comando foi criado um novo arquivo com a extensao .dump no 
diretório /media/backup (backup.1.dump). Neste arquivo temos o incremento da par- 
tição (o que tem de novo). Compare o tamanho dos dois arquivos: 


# cd /media/backup 

# ls -lh 

-rw-r--r-- 1 root root 153M Abr 26 16:29 backup.0.dump 
-rw-r--r-- 1 root root 34K Abr 26 16:40 backup.1.dump 


3.4 Restaurando backup com xfsrestore 


O comando xfsrestore executa a função reversa do xfsdump; podendo restaurar uma 
cópia de segurança completa de um sistema de arquivos. Backups incrementais 
subsequentes podem ser colocados depois ‘em cima’ do backup completo. Arqui- 
vos únicos e subdiretórios podem ser restaurados a partir de backups completos ou 
parciais. 


Primeiro crie um novo local para armazenar o backup restaurado, e use o comando 
xfsrestore para restaurar o backup incremental: 


# mkdir /backup 
# xfsrestore -f /media/backup/backup.1.dump /backup/ 


xfsrestore: using file dump (drive_simple) strategy 

xfsrestore: version 3.0.4 (dump format 3.0) - Running single- 
threaded 

xfsrestore: searching media for dump 

xfsrestore: examining media file 0 

xfsrestore: dump description: 

xfsrestore: hostname: debian 


xfsrestore: mount point: /media/xfs 
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xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 
xfsrestore: 


xfsrestore: 


3.5 Criar e Restaurar Backup Remoto 


/dev/sdb1 
Thu Apr 26 16:40:17 2012 


volume: 


session time: 


level: 1 
session label: "backup" 
media label: "backup" 


file system id: 3eca0743-cfa5-45b4-8376-c892e3793511 
session id: ff2f5ed8-977c-417e-8538-40513baf6939 
ddf5382d-3770-4aef -861f-e390edf46cd5 


using online session inventory 


media id: 


searching media for directory dump 
reading directories 

3 directories and 54 entries processed 
directory post-processing 

restoring non-directory files 

restore complete: 
SUCCESS 


0 seconds elapsed 


Restore Status: 


Toda a estrutura de diretérios com o arquivo auth.log foi restaurado. Liste o conteudo 
do diretério /backup e comprove a restauraçäo. 


# ls -1 /backup/var/log/auth. log 


=FW=r----- 1 root root 9422 Abr 26 16:38 /backup/var/log/auth.log 
Caso precise de uma restauraçäo completa do /dev/sdb1, use o comando: 


# xfsrestore -f /media/backup/backup.0.dump /media/xfs 


3.5 Criar e Restaurar Backup Remoto 


A pratica é bem parecida com o procedimento local mudando apenas, comandos 
adicionados para a conexão remota e a compactação dos arquivos. Em nossa infra 
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vamos precisa de 2 maquinas com SSH. 

* Maquina 1: Debian 6 com IP 192.168.200.1 (pacote xfsdump instalado) 

* Maquina 2: CentOS 6 com IP 192.168.200.2 (pacote xfsdump instalado) 
Backup Completo via SSH 


Na maquina Debian 6 use o comando xfdump para criar um backup completo do 
diretório /media/xfs. 


# xfsdump -1 0 -L backup - /media/xfs | gzip | ssh root@192 
.168.200.2 dd of=/backup/backup$ (date +%d-%m-%Y) . gz 


Descrição das opções utilizadas: 


e xfsdump -l O -L backup - /media/xfs | : Comando usado para criar o backup 
completo (-I 0) do diretório /media/xfs com o label "backup"; 


* gzip | : O resultado do comando xfsdump sera compactado atraves deste co- 
mando; 


* ssh root@192.168.200.2 : Envia o backup compactado para a maquina re- 
mota; 


e dd of=/backup/backup$(date +%d-%m-%Y).gz : Na maquina remota o bac- 
kup compactado sera gravado em um arquivo (dd of) com a data atual em 
/backup. 

Através da linha de comando em nosso exemplo, o backup foi criado de forma remota 
na maquina CentOS no diretório backup. Não esqueça de criar este diretório na 


maquina CentOS. 


Restore completo via SSH 
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Para restaurar use 0 comando xfsrestore na maquina Debian apontando o diretério 
de destino: 


# ssh root@192.168.200.2 "dd if-/backup/backup30-04-2012.gz" | 


gunzip -c | xfsrestore - /mnt/ 


Descrição das opções utilizadas: 


* ssh root@192.168.200.2 : Recebe o backup compactado da maquina remota; 


* dd if=/backup/backup30-04-2012.gz | : Na maquina remota o backup com- 
pactado sera lido através de um arquivo (dd if); 


* gunzip -c | : O resultado do comando anterior sera descompactado atraves 
deste comando; 


* xfsrestore - /mnt/backup/ : Comando usado para restaurar o backup da ma- 
quina remota no diretório /opt. 


Backup incremental via SSH 


Na maquina Debian altere um arquivo no diretório /media/xfs e crie um backup incre- 
mental (-I 1) na maquina CentOS: 


# echo "Novo conteudo” >> /media/xfs/var/log/auth.log 

# xfsdump -1 1 -L backup - /media/xfs | gzip | ssh root@192 
.168.200.2 dd of=/backup/backup-incremental01 -$(date +%d-%m-%Y). 
gz 


Restore incremental via SSH 


Para restaurar apenas o que foi incrementado no backup completo: 
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# ssh root@192.168.200.2 "dd if=/backup/backup-incremental01 
-30-04-2012.gz" | gunzip -c | xfsrestore - /opt 


Dica: Para nao precisar informar a senha crie uma configuraçäo com chaves no SSH 
entre as maquinas Debian e CentOS! 
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3.6 Introdução Teórica 


A “crontab” é utilizada para agendar comandos que serão executados periodica- 
mente, ao contrário do comando “at”, que executa comandos pontualmente. Há dois 
tipos de “crontab”: a de usuários e a do sistema. Ambas são arquivos que contêm 
tabelas com informação de quando o comando especificado deve ser executado, 
sendo que cada linha corresponde a um único agendamento. 


A “crontab” é gerenciada pelo “daemon crond”, que a cada um minuto verifica se há 
algum agendamento que deve ser executado e, se houver, executa-o. 


A “crontab” dos usuários pode ser acessada pelo comando: 
# crontab [-e|-r|-1] 


A tabela fica armazenada em arquivos com o nome do usuario dono da tabela. Jaa 

“crontab” do sistema é encontrada no arquivo “/etc/crontab” e já possui agendamen- 

tos para realizar as tarefas que se encontram nos diretórios “/etc/cron.[hourly|daily|weekly|month 
Sendo que o programa chamado “run-parts” é quem executa os referidos agenda- 

mentos. 


O formato das “crontabs” dos usuários e do sistema são quase iguais. A exceção é 
que a “crontab” do sistema possui um campo a mais, como pode ser visto a seguir: 


OO A © N — 
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crontab (usuários) 


# minuto hora dia mês diaDaSemana comando 


crontab (sistema) 


# minuto hora dia mês diaDaSemana USUÁRIO comando 


© A unica diferença entre as duas “crontabs” é que na do sistema ha um campo 
para especificar qual é o usuario que ira executar o comando agendado. 


Além disso cada campo possui um conjunto de valores validos, sendo eles: 
minuto: varia de 0-59; 

hora: varia de 0-23; 

dia: varia de 1-31; 

més: varia de 1-12; 

diaDaSemana: varia de 0-7, sendo: 


O ou 7 — domingo 1 - segunda-feira 2 - terça-feira 3 - quarta-feira 4 - quinta-feira 5 - 
sexta-feira 6 - sábado 


* Usuário: um usuário válido no sistema; 


* comando: o “path” completo para o comando. 
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© Podemos controlar quais usuarios podem acessar ou nao o “cron”. Para isso 
basta criar um dos arquivos: “/etc/cron.allow” ou “/etc/cron.deny”. A mesma dica é 
válida para o comando “at”: “/etc/at.allow” ou “at.deny”. 


Considerando o formato já listado, podemos realizar agendamentos utilizando alguns 
operadores que facilitam o trabalho. São eles: 


e vírgula (,) -> especifica uma lista de valores, por exemplo: “1,3,4,7,8”; 
* hifen (-) -> especifica um intervalo de valores, por exemplo: 1-15 (de 1 a 15); 
* asterisco (*) -> especifica todos os valores possíveis; 


* barra (/) -> especifica “pulos” de valores, por exemplo: se no campo hora utili- 
zarmos “*/3” o comando será executado as “0,3,6,9,12,15,18,21” horas; 


3.6.1 Agendamento de Tarefas com AT 


O comando "at"pode agendar tarefas de forma semelhante ao cron, e é integrado 
à interface de linha de comando do Linux. É muito eficiente se aplicado no agen- 
damento de tarefas que sejam disparadas somente uma vez. O at permite o con- 
trole dos usuários que podem agendar comandos através dos arquivos /etc/at.allow 
e /etc/at.deny. Estes arquivos são organizados no formato de um usuario por linha. 
Durante o agendamento é verificado primeiro o arquivo /etc/at.allow (listando quem 
pode executar o comando) e depois /etc/at.deny. Caso eles não existam, o agenda- 
mento de comando é permitido a todos os usuários. 


Verifique se a data e a hora do sistema estão corretas: 
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# date 


À Após essa verificação podemos começar a realizar agendamentos. 


Agende para 10 minutos no futuro um backup do diretório “/etc”, colocando seu bac- 
kup no diretório /backup. 


Agende a tarefa de backup: 


# at HH:mm MM/DD/YYYY 
at> tar zcvf /backup/backup-etc.tar.gz /etc/ 
at> (Ctrl + d) 


Agendada esta tarefa, confirme-a listando todos os agendamentos pendentes: 
# atq 


Vamos explorar o diretório onde ficam os agendamentos: 


# cd /var/spool/cron/atjobs # Is -la 


à # cd /var/spool/at # Is -la 


Mostre o conteúdo dos arquivos contidos nesse diretório: 
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# cat (agendamento) 


À Perceba que no agendamento, temos nossas variaveis e o comando. 


Vamos realizar outro agendamento qualquer, para executar em 15 minutos, para que 
possamos aprender como apaga-lo: 


# at HH:mm MM/DD/YYYY 
at> echo "Teste” > /tmp/at.out 
at> ^d 


w Liste os agendamentos correntes e verifique que um novo arquivo foi criado 
no diretério de “spool” do “at”. 


# cd /var/spool/cron/atjobs 
# ls -la 


Agendada esta tarefa, confirme-a listando todos os agendamentos pendentes: 
# atq 
1) Remova o último agendamento: 


# atrm [número agendamento | 
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Liste os agendamentos ativos e liste o conteúdo do diretório de “spool” do “at” e veja 
que o “job” foi removido: 


# atq 
# ls /var/spool/cron/atjobs 


Verifique o backup que estava agendado pelo comando at: 


# ls /backup 


Todos usuarios comuns podem utilizar o comando at, por padrao somente vem criado 
o arquivo “/etc/at.deny”, neste arquivo sao configurados os usuários que não podem 
utilizar o agendador de tarefas at, caso queira bloquear o uso de alguns usuários 
específicos adicione-os neste arquivo, sendo um usuário por linha, se quiser bloquear 
o uso de todos, crie o arquivo “/etc/at.allow” em branco. 


Caso queira habilitar o uso do agendador de tarefas at para apenas alguns usuários 
específicos, crie o arquivo “/etc/at.allow” e coloque um nome por linha. 

Bloqueie o uso do agendador de tarefas at para usuários comuns: 

# touch /etc/at.allow 


Teste o bloqueio com o usuário mandark: 


$ at 12:00 01/01/2014 
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3.6.2 Agendando Tarefas com o CRON 
Cuidados especiais com scripts 


Utilize nos comandos do script e no agendador, sempre o (path) caminho completo do 
aplicativo a ser executado, exemplo para o comando tar, use /bin/tar, também na linha 
de comando que inserir no cron use o caminho completo para o script, por exemplo, 
executar um script que está em /home/zago, use a linha: /home/zago/nome-do-script 
e não somente nome-do-script. 


Muito cuidado com scripts, o comodismo pode cair no esquecimento e não atualizar 
o script de backup quando incluir novos serviços, diretórios ou usuários, monitore 
constantemente, teste e avalie o que está sendo feito. 


Tenha os seguintes cuidados quando elaborar scripts para execução pelo cron. 


Nestes scripts não pode conter comandos que requer interação com o usuário, tais 
como pedir senha para completar a conexão de um ftp, nestes casos deve ser colo- 
cado todas as instruções dentro do script de maneira que possa completar a conexão 
passando o login e senha. 


Comandos que requerem confirmação para execução, por exemplo, apagar arquivos, 
o rm pede confirmação, mas com o parâmetro -rf não pede, então seria assim: rm -rf 
<arquivo, diretório ou /caminho/o que deve apagar> 


Não deve ter nenhum comando que peça confirmação ou qualquer interação com o 
usuário. 


Fique atento às permissões, quando possível agende como root para executar o 
script, use o "sudo"para dar permissões de execução em programas que requer po- 


deres de root na execução, acesso a diretórios de backup e etc.... 


Espaço em disco quando baixar arquivos, backup ..., comandos de parar serviços ou 
manipular arquivos em uso. Revise periodicamente scripts que requerem atualiza- 
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ção, tais como backup de dados dos usuários, incluir novos usuários... 
O cron limita a busca nos diretórios /bin e /usr/bin, portanto indique o caminho com- 
pleto do programa ou script, ou melhor indique sempre, mesmo que estejam nestes 


diretórios. 


Para agendar as tarefas usamos o comando crontab com a sintaxe descrita abaixo: 


# crontab [-u usuário] { -e | -1 | -r } 


u -> permite que o superusuário agende tarefas para outros usuários, pois o CO- 
mando su pode atrapalhar o crontab. Um usuário comum não precisa usar essa 
opção para especificar ele próprio. 


e -> edita o arquivo de tarefas agendadas pelo usuário. A formatação desse arquivo 
será descrita mais adiante. 


| -> lista o arquivo de tarefas agendadas pelo usuário. 
r-> apaga o arquivo de tarefas agendadas pelo usuário. 


Basicamente, para agendarmos uma tarefa deveremos editar o nosso arquivo “agenda” 
com o comando: 


# crontab -e 


O arquivo agenda tem as seguintes características: as linhas em branco, espaços 
iniciais e tabs sao ignorados. As linhas cujo primeiro caractere nao-branco for um 
"#"sao comentários, e são ignorados. Uma linha ativa em um arquivo agenda é uma 
definição de ambiente ou um comando do cron. 


Definição de ambiente: 
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nome=valor -> A string valor pode ser colocada entre aspas (simples ou duplas, mas 
correspondentes) para preservar espaços iniciais ou finais. 


Várias variáveis de ambiente são definidas automaticamente pelo servidor cron. 
SHELL é definida como /bin/sh, LOGNAME e HOME são definidos a partir da linha 
do /etc/passwd referente ao usuário que agendou a tarefa. HOME e SHELL podem 
ser modificadas, mas LOGNAME não. 


O formato de um comando do cron é em grande parte o padrão V7. Cada linha 
tem cinco campos de hora e data, seguidos por um comando. Os comandos são 
executados pelo servidor cron quando os campos minuto, hora, e mês correspondem 
a hora atual, e quando pelo menos um dos campos de dia (dia do mês, ou dia da 
semana) correspondem ao dia atual. 


Entre na “crontab” do usuário para editá-la: 


# crontab -e 


Para entendermos a diferença entre os campos “dia do mês” e “dia da semana”, 
vamos agendar uma tarefa no crontab para escrever a data no terminal 2: 


# minuto hora dia do mes mês dia. da. semana comando 
* * 13 09 6 /bin/date > /dev/tty2 


No comando acima foi feito um agendamento para ser executado, todos os minutos 
de todas as horas, no dia 13 de setembro e todos os sábados de setembro, ou seja, 
os campos “dia do mês” e “dia da semana” trabalham de forma separada. Vamos 
mudar nossa data e hora para verificarmos: 


# date 091323582013 
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Mudamos a data para o dia 13 de setembro de 2013, uma sexta-feira. Visualize a 
data: 


# cal 2013 


Visualize no terminal 2 pela data, que, é executado o comando “hoje”, dia 13 de 
setembro de 2013 e que “amanhã”, sábado ele também é executado. 


Visualize os agendamentos feitos pelo o usuário. 


# crontab -1 


Onde ficam armazenados os agendamentos feitos pelos usuários com o “crontab 
-e”? 


# cd /var/spool/cron/crontabs É Is 


à # cd /var/spool/cron É Is 


A Não apague ou edite o seu agendamento dentro desse diretório, use os co- 
mandos para fazer isso. 


Após verificar que os agendamentos foram efetuados corretamente, apague todos 
os agendamentos do usuário. 


# crontab -r 
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À Para apagar somente um agendamento do usuario, use o “crontab -e” e retire 
a linha desejada. 


Agora que aprendemos a utilizar a “crontab” do usuario podemos usar a “crontab” do 
sistema que opera praticamente da mesma forma, apenas tem um campo a mais, 
o usuário que executará o “script”. Seu arquivo de configuração é o /etc/crontab. 
Debian: 


# cat /etc/crontab 
SHELL=/bin/sh 
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 


tm h dom mon dow user command 

17 x x x x root cd / && run-parts --report /etc/cron.hourly 

25 6 x x x root test -x /usr/sbin/anacron || ( cd / && run-parts -- 
report /etc/cron.daily ) 

47 6 x x 7 root test -x /usr/sbin/anacron || ( cd / && run-parts 
--report /etc/cron.weekly ) 

52 6 1 x x root test -x /usr/sbin/anacron || ( cd / && run-parts -- 


report /etc/cron.monthly ) 


CentOS: 


# cat /etc/crontab 

SHELL=/bin/sh 
PATH=/sbin:/bin:/usr/sbin:/usr/bin 
MAILTO=root 


HOME=/ 
01 x x x x root run-parts /etc/cron.hourly 
02 4 x x x root run-parts /etc/cron.daily 
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22 4 x x 0 root run-parts /etc/cron.weekly 


42 4 1 x x root run-parts /etc/cron. monthly 


O programa “run-parts” executa todos os scripts executáveis dentro de um certo 
diretório. Então com essas linhas, temos diretórios programados para executar pro- 
gramas de hora em hora, diariamente, semanalmente ou mensalmente. Abaixo a 
tabela: 


Ainda dentro do diretório /etc, temos quatro agendamentos pré-definidos: 
cron.hourly, cron.daily, cron.weekly e cron.montly Onde: 
cron.hourly: de hora em hora 

cron.daily: de dia em dia 

cron.weekly: de semana em semana 


cron.montly: de mês em mês 


3.6.3 Restringindo o uso do crontab 


Os arquivos “/etc/cron.allow” e “/etc/cron.deny” são usados para restringir acesso ao 
cron. O formato de ambos arquivos de controle de acesso consiste em um nome 
de usuário por linha. Espaços em branco não são permitidos em nenhum destes 
arquivos. O daemon do cron não precisa ser reiniciado se os arquivos de controle de 
acesso forem modificados. Os arquivos de controle de acesso são lidos a cada vez 
que o usuário tentar adicionar ou apagar uma tarefa do cron. 


O usuário root pode usar o cron sempre, independentemente dos nomes de usuário 
listados nos arquivos de controle de acesso. 
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Se o arquivo /etc/cron.allow existe, somente os usuários listados neste poderão usar 
o cron, e então o arquivo cron.deny será ignorado. 


Se o arquivo cron.allow não existe, os usuários listados no cron.deny não poderão 
usar o cron. 
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Automatizacao de Tarefas com Shell 
Script | 


4.1 Introdução Teórica 


Tarefas administrativas são, muitas vezes, longas e repetitivas. Podemos automati- 
zar esses procedimentos através de “scripts”. Na verdade, os “scripts” podem nos 
auxiliar muito, numa vasta gama de atividades. 


O que é um “script”? É uma sequência de instruções que são executadas toda vez 
que o mesmo é chamado. 


Mas, qual a diferença entre um “script” e um programa, já que ambos são sequências 
de instruções? 


Um “script”, é um programa não compilado. O processador da máquina só é capaz 
de executar programas binários, isto é, compilados especificamente para ele. Dessa 
forma, é necessário um programa que interprete esse “script”, em tempo de execu- 
ção, para que o mesmo possa ser executado. No nosso caso, esse programa será 
uma “shell”, já que estamos falando de “shell scripts”. 


Sendo uma linguagem de programação, a “Shell Script” possui uma série de estru- 
turas de controle como “loops” e condicionais, mas que são estudadas apenas em 


cursos mais avançados. Estudando um exemplo 


Vejamos o seguinte exemplo de “Shell Script”: 
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# vim shell.sh 

#!/bin/bash 

# Meu primeiro shell script 
cedis 

clear 

ls -alh 

date 

CMS 


Este é um “script” bem simples. As linhas que começam pelo símbolo "cedilha"são 
comentários, ou seja, tudo que aparece depois do desse carácter é desprezado. Os 
comentários são muito importantes nos programas, pois são uma forma de documentá- 
los. Imagine se você tiver que fazer uma alteração num programa escrito a um ano 
antes. Será que você irá se lembrar de todas as estruturas e variáveis que utilizou? 
Provavelmente não. Se for outra pessoa quem tiver que efetuar essa mudança, a 
situação será pior ainda! 


Mas a primeira linha, na qual aparece um comentário, possui uma característica 
um tanto estranha. Na verdade, a primeira linha de um “script”, indica qual será o 
interpretador daquele “script”. Em nosso exemplo será o programa “binbash”, uma 
“shell”. Se estivéssemos criando um “script” com a linguagem de programação “Perl”, 
a primeira linha seria algo como usrbinperl. 


O “script”, propriamente dito, executa 4 comandos simples: Acessar o diretório do 
usuário corrente (cd ); limpar a tela (clear); listar o conteúdo diretório corrente (Is 
-alh); imprimir a data (date) e voltar ao diretório original (cd -). Executando o script 


Um programa ou “script” no GNU/Linux deve possuir permissão de execução. Su- 


pondo que nosso “script” denomina-se “shell.sh”, para podermos executá-lo, deve- 
mos executar o comando: 


# chmod u+x shell.sh 
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E em seguida executar o script: 


# ./shell.sh 


Em algumas situaçôes, pode ser necessario fornecer parametros para um “script”. 
Por exemplo, se ao invés de listar o conteudo do diretério pessoal do usuario, qui- 
séssemos que o “script” listasse o conteúdo de um diretório qualquer. 


Supondo que esse novo “script” cnama-se “script2.sh”, uma possível forma de utili- 
zação do “script” seria: 


# ./script2.sh /etc 


Para passar parâmetros para esse “script”, precisamos conhecer a função de algu- 
mas variáveis: “$1, $2”. Quando passamos algum parâmetro para o nosso “script”, 
esse parâmetro fica armazenado em uma variável específica. Por exemplo: 


# ./script3.sh parâmetro! parâmetro? parâmetro3 


Para conseguirmos resgatar o valor desses parâmetro, precisamos chamar as variá- 
veis “$1,$2 e $3”, por exemplo: 


# vim script3.sh 

#!/bin/bash 

# 

#Esse script pega o valor dos parâmetros e imprimi na tela. 
echo $1 

echo $2 

echo $3 

# ./script3 42 the answer 
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4.2 Usando os numeros 


Muitas vezes quando fazemos “scripts”, precisamos de uma funçäo que faça o tra- 
balho das operações matemáticas básicas como soma, divisão, multiplicação e sub- 
tração. Em “shell script” podemos usar o comando “expr” para realizá-las. Já a 
contagem de linhas é feita pelo comando “wc”. E o comando “cut” serve para “cortar” 
a saída no ponto especificado pelo separador. 


Vamos ver esse exemplo: um “script” que deve dizer quantos usuários estão presen- 


tes, quantos grupos estão presentes e no final mostrar quantos objetos meu sistema 
tem, a soma dos usuários e dos grupos: 


#!/bin/bash 


# 

echo "Aguarde ..... A 

sleep 3 

G= we -l /etc/group | cut -d” " -f1: 
U= ‘wc -l /etc/passwd | cut -d” " -f1: 


echo "0 sistema possui $U usuarios.” 
echo "O sistema possui $G grupos.” 


echo "O sistema possui ‘expr $G + $U‘ objetos.” 


4.3 Usando a estrutura “se” 


Até o presente momento, fizemos “scripts” que não possuem escolhas, ou seja, co- 
mandos de execução em linha de comando em série, utilizando nossa lógica para 
fazer com que aquele “script” seja executado corretamente. Mas se qualquer coisa 
acontecer no meio do caminho, não temos a oportunidade de trabalhar com as fa- 
mosas “exceptions”. 


As “exceptions”, também conhecidas como exceções, servem para ajudar quando o 
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resultado de alguma parte do “script” pode ter varios rumos. Usando a condiçäo “se”, 
é possivel testar o resultado de uma condicional. 


Por exemplo: 


v a=1 b=2 SE b >a ENTÃO IMPRIMA bSENOIM PRIM Aa FIMSE 


A variável “$?“ 


A variável interrogação é conhecida por testar o valor de retorno de qualquer co- 
mando quando mostrada após sua execução. Com ela podemos verificar se o pro- 
grama foi executado com sucesso ou não. Para isso basta saber que essa variável 
tem dois retornos principais. 


# pwd 
# echo $? 
# 0 


Quando o resultado dessa variável é igual a “0”: Comando executado com sucesso! 


# pws 
# echo $? 
# != 0 


Quando o resultado é diferente de “0”, quer dizer que existiu algum problema na 
execução do comando. 


Cada programa tem sua tabela e exceções, mas sempre retornam “0” quando o 
programa é bem executado. O comando “test” 
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O teste de condicionais (strings, matemáticas e em arquivos) em “Shell Script” é feito 
através do comando “test”. Vamos conferir algumas formas de testar condicionais. 


Testando “strings” 


test “uva” = "uva" 
# echo $? 

0 

test “uva” = "banana" 
# echo $? 


Testando expressões matemáticas 


test 5° ceg 2 


# echo $? 


test 2 -eg 2 


# echo $? 


Testando expressões em arquivos 


# test -z $vazia 
# echo $? 
# 0 
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# var=valor 

# test -z $var 
# echo $? 

# 1 


4.3 Usando a estrutura “se” 


Acima mostramos algumas formas de se testar as condicionais utilizadas dentro da 
estrutura “se”. Lembre-se que podemos usar as condicionais tanto dentro, quanto 


fora da estrutura “se”, depende do caso e do meio. 


Abaixo podemos ver uma lista de operadores para nossa diversão. 


Operadores de strings 


























Operadores Funções 
== Igual 
!= Diferente 
Operadores de matemäticos 
Operadores Funções 
+ Soma 
- Subtração 
. Multiplicaçäo 
/ Divisäo 
> Maior 
= Maior ou Igual 
< Menor 
<= Menor ou Igual 
Operadores para arquivos 
Operadores Funções 





-€ 


Arquivo existe (exists) 





-nt 








Arquivo é mais novo que (newer than) 
Arquio é mais antigo que (older than) 


E um diretório (directory) 








Existem muitos outros operadores para que possamos dominar o mundo e conse- 
quentemente o sistemas UNIX com “shell script”. Estes são apenas os essenciais! 
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4.4 Utilizando a estrutura “if” 


Abaixo alguns exemplos realmente práticos de como utilizar a estrutura “if”. 


#!/bin/bash 
## Primeiro script - Verificando se um usuario existe 
echo "Digite usuario para consulta:” 
read USER 
REPLY=$(getent passwd | grep $USER) 
‘Taf ee ZRSREPIS T then 
echo "Usuario $USER não existe!” 
else 
echo "Usuario Existe” 
fi 


Ao invés de verificar se a variavel que recebia o resultado do comando estava vazia, 
poderíamos ter utilizado o comando “test” antes da estrutura e checar apenas seu 
código de erro: 


#!/bin/bash 

## Primeiro script - Verificando se um usuario existe 
# 

echo "Digite usuario para consulta:” 

read USER 

REPLY=$(getent passwd | grep $USER) 


test -z $REPLY 
if [ $? -eq 0 ] ; then 
echo "Usuario $USER ndo existe!” 
else 
echo "Pagamento em dia” 
fi 
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4.5 Exemplos de script com IF 


Exemplo 1: Verifica se um determinado usuário esta logado no sistema. 


#!/bin/bash 

clear 

echo "Digite o nome do usuario” 
read USER 

if who | grep $USER > /dev/null 
then 

clear 

echo $USER esta logado 

else 

clear 

echo $USER não está logado 

fi 


Exemplo 2: Pesquisa uma palavra dentro de um arquivo. 


#!/bin/bash 

clear 

echo "Escreva o nome do arquivo e a palavra a ser pesquisada 
read file word 

if grep $word $file > /dev/null 

then 

clear 

echo "A palavra $word existe no arquivo $file.” 

fi 
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Automatizando Tarefas com Shell 
Script Il 


5.1 Introdução Teórica 


Tarefas administrativas são, muitas vezes, longas e repetitivas. Podemos automa- 
tizar esses procedimentos através de “scripts”. Como exemplo podemos utilizar o 
"case"para comandos de fluxo, tal como é o if, mas enquanto if testa expressões não 
exatas, o "case"vai agir de acordo com resultados exatos. 


Temos o "while"para testa continuamente uma expressão, até que ela se torne falsa, 


e ainda contamos com o laço "for"que vai substituindo uma variável por um valor,e 
vai executando os comandos que são pedidos. 


5.2 Utilizando a estrutura “case” 


Outra estrutura bastante útil quando vários “if” precisam ser declarados é a estrutura 
“case”. 


w case <valor> in <padrão1>) comandos ;; <padräo2>) comandos ;; <padräo3>) 
comandos ;; *) comandos ;; esac 
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Exemplo 1: Executar comandos dependendo do usuário digitado. 


#!/bin/bash 


clear 

echo "Digite um nome de usuario” 
read Usuario 

case $Usuario in 

aluno ) 

clear ; ls /etc ; cal ; date 
5) 

root ) 

clear ; whoami 

a) 

*) 

clear 

echo $Usuario ndo existe 

55 


esac 


Exemplo 2: Script que exibe informações do sistema. 


#!/bin/bash 


clear 


echo "Escolha uma opção para informações da maquina (Digite o numero 


»" 
echo "1-Horario do sistema” 
echo "2-Tempo que o servidor esta ligado” 
echo "3-Quantidade de usuário logados” 
echo "4-Sair” 
read ESC 
case $ESC in 

1) 

H=$(uptime | awk -F” ” ’{ print $1 }’) 


echo "Agora são $H” 
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2) 
T=$(uptime | awk -F” ” ’{ print $3 }’) 
echo "O sistema esta $T ligado” 
3) 
U=$(uptime | awk -F” " ’{ print $4 }’) 
echo "Existem $U atualmete logados” 
4) 
echo "Bye at 
*) 
echo "Opção invalida” 
esac 


5.3 Utilizando a estrutura “while” 


Quando repetições são necessárias podemos utilizar estruturas de “looping” como 
“while” e “for”. 


while [<expressão> ]; do 
comandos 


done 
Exemplo 1: Verificar se um site esta no ar. 


#!/bin/bash 
clear 


echo "Digite o endereço de um site” 
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read SITE 
while ping -c1 $SITE > /dev/null 2>&1 
do 


echo "O site $SITE está no ar.” 


done 


Exemplo 2: Cria quantos arquivos vocé indicar com uma determinada extensäo. 


#!/bin/sh 

clear 

echo "Digite o nome do arquivo” 
read ARQ 

clear 

echo "Digite a extensdo do arquivo” 
read EXT 

clear 


echo "Digite o numero de arquivos criados” 


read NUM 

i=1 

while [ $i -le $NUM ] 
do 


touch $ARQ$i.$EXT 
i=“ expr $i + 1‘ 
done 


5.4 Utilizando a estrutura “for” 


O “for” pode ser utilizado efetuar um “looping” no estilo do “while” ou para processar 
uma lista. 


for VARIAVEL in <lista> ; do 
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comandos com a VARIAVEL 


done 


Exemplo 1: Compactar todos os arquivos do diretório atual. 


#!/bin/bash 
(ROLE ae TN Cis oa) 4 
do 
tar -cvzf $i.tar.gz $i 


done 


Exemplo 2: Apaga todos os arquivos de uma determinada extensäo. 


#!/bin/bash 

clear 

echo "Digite a extensdo dos arquivos que vocé quer apagar” 
read ARQ 

for i in *.$ARQ ; do 

rm $i 


done 


Exemplo de Loop 


Vamos criar um script que fara uma verificaçäo de quais maquinas estao ativas na 
rede, para isso usaremos 0 comando ping. 


# ping 192.168.200.254 


Usaremos algumas opções do comando ping para que ele não entre num loop, como 
acontece por padrão, e espere nossa interação para interrompe-lo: 
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# ping -c 2 -w 2 192.168.200.1 
Iremos agora elaborar o shell script hostup.sh 


#!/bin/bash 
for IP in $(seq 1 15); do 
ping -c 2 -w 2 192.168.200.$IP > /dev/null && 
echo "192.168.200.$IP - UP” || 
echo "192.168.200.$IP - DOWN” 


done 
Dé permissão de execução ao “script” e execute-o para testá-lo: 


# cd /sbin 
# chmod u+x hostup.sh 


# hostup.sh 


Programar em “shell script” é uma arte, e como na arte, em “shell” o limite é a sua 
imaginagao. Para se aprofundar nesse assunto: 


@ http://jneves.wordpress.com/ http://aurelio.net 


5.5 Transformar Shell Script em binario 


Obtenha o arquivo compactado no site usando o comando wget: 
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# wget -c http://www.datsi.fi.upm.es/~frosal/sources/shc-3.8.6.tgz 
Descompacte o arquivo: 

# tar -xvzf shc-3.8.6.tgz 

Copie o binario o shc para /usr/local/bin 

# cp shc-3.8.6/shc /usr/local/bin/ 

Compile seu shell script usando o comando: 

# shc -v -r -f script 


Opcoes de linha de comando: 


* -v: Modo verbose (mostra o que esta fazendo); 
* -r: Gera um binário compatível com mais de um sistema; 


* -f: Opção para o compilador buscar o arquivo; 


Copie o arquivo binário para /bin (assim todos os usuários terão acesso) 
# cp script.x /bin/script 
Acerte as permissões do arquivo para que todos os usuários tenham acesso. 
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1 # chmod 755 /bin/script 


Acesse o sistema com um usuario comum e digite o nome do script 
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Gerenciamento de dados SQL 


6.1 Introduçäo ao SGBD 


Antes de iniciar a criação de bancos de dados e tabelas, é preciso ter instalado na 
maquina um SGBD. Que consiste é um sistema gestor de base de dados, onde dis- 
ponibiliza uma interface para que clientes (usuários), possam interagir com o banco 
de dados, de varias maneiras como inserir dados, pesquisar, excluir, entre outras 
tarefas. 


Os comandos são executados usando a linguagem SQL (Structured Query Language 
- Linguagem de Consulta Estruturada), que é uma linguagem para banco de dados 
relacional, facilitando a interação com vários SGBDs, como por exemplo o Firebird, 
PostgreSQL, MySQL, entre outros. 


© As provas do LPI irão cobrar comandos básicos de SQL. 


6.2 Instalação do MySQL 


1) Para os nossos testes, vamos utilizar o “MySql”: 


# aptitude install mysql-server 
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2) Ganhando acesso ao Banco de dados: 
# mysql -u root -p 
3) Visualizando “databases”: 


mysql> show databases; 


6.3 Criação do Banco de Dados e Tabelas 
1) Criando “database”: 

mysql> create database lpi; 

2) Utilizando “database”: 

mysql> use lpi; 


3) Veremos agora como criar as tabelas, onde os dados serao armazenados. A 
sintese de criaçäo de tabelas do MySQL é a seguinte: 


CREATE [TEMPORARY] TABLE [IF NOT EXISTS] nome tabela [(definição create,...)] 
[table options] [select statement] 


Novamente podemos nos valer do parâmetro opcional “IF NOT EXISTS” para execu- 


tarmos o comando sem termos certeza da existência ou não da tabela. Para criarmos 
uma tabela executamos a seguinte parte da sintaxe: “CREATE TABLE nome tabela”. 
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Mas é mais comum criarmos a tabela já acompanhada de seus campos (fields). Va- 
mos criar no nosso exemplo a tabela LPI com os seguintes campos: 


“id” - campo de identificação; 


“certificacao” - título do nível da prova; “prova” - tipo de prova; “nota” - notas da 
prova; 


A sintaxe completa do comando será: 


mysql> create table lpi ( 
-> id int(10) unsigned not null auto_increment, 
-> certificacao varchar(80) not null, 
-> prova int(4) unsigned not null, 
-> nota varchar(80) not null, 


-> primary key (id)); 


Os campos sao definidos da seguinte forma: 


nome campo tipo [ NULL | NOT NULL] [ DEFAULT valor padrão] [ AUTO_INCREMENT 
] 


z 


No campo id por exemplo o tipo é “int(10)” com o modificador “unsigned”, ele nao 
aceita valores nulos (not null) e é “auto_increment”, ou seja, seu valor é definido 
automaticamente, aumentando de 1 (um) em 1 (um) toda vez que um novo registro 
é adicionado. Para fazer uso desta funcionalidade é necessário adicionar o valor “0” 
ou “null” neste campo. 


No campo “certificacao” escolhemos o tipo “varchar(80)” o que significa que este 
campo aceita caracteres alfanuméricos com no máximo 80 deles. O campo também 


não pode ser nulo. 


4) Visualizando as tabelas: 
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mysql> show tables; 
5) Liste a estrutura da tabela: 
mysql> desc lpi; 


Com o retorno do comando “desc” podemos ver quais os campos da tabela, qual o 
tipo dos campos, se aceitam ou não valores nulos, se existe uma chave primária, e 
se algum campo possui a propriedade “auto_increment”. 


6.4 Inserir e pesquisar dados em tabelas 


1) Para preencher os campos da tabela 


mysql> INSERT INTO lpi (id, certificacao, prova, nota) VALUES (’01’, 
IPT QUE GS Ou) 


2) Selecionar todos os registros da tabela “lpi” onde o campo “nota” possui o valor 
igual a 101: 


mysql> SELECT x FROM lpi WHERE nota=’101’; 


6.5 Atualizar campos e registros em tabelas 


1) Adicione um novo campo na tabela: 
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mysql> alter table lpi 


-> add nome varchar(80) not null; 
2) Liste a estrutura da tabela: 
mysql> desc lpi; 
3) Selecionar todos os registros da tabela “Ipi”: 
mysql> select x from lpi; 
4) Atualize o registro 1 onde o campo id possui o valor igual a 1: 


mysql> update lpi set nome=’fulano’ where id=’1’; 


6.6 Alterando privilegios 


1) Adicionando usuario: 


mysql> GRANT ALL PRIVILEGES ON lpi.» TO curso@localhost 
IDENTIFIED BY ’cursolinux’ WITH GRANT OPTION; 
FLUSH PRIVILEGES; 


Atribui todos os privilégios a todas as tabelas do banco “lpi” ao usuário “curso”, a 
partir da maquina “localhost”, cuja senha é “cursolinux”. O comando “FLUSH PRI- 
VILEGES” atualiza as novas alterações no “daemon” do MySQL. Caso o usuario 
“curso” não exista, um novo usuário será criado. 
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2) Saindo do Mysql: 
1 mysql> quit 
3) Faça testes de login com o usuário “root” e o usuário “curso”: 


1 # mysql -u root -p 
2 # mysql -u curso -p 
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7.1 Registro de usuarios no sistema 


© Ha quatro arquivos basicos que dizem respeito a administraçäo de usuarios, 
sendo eles: 


* passwd -> contém as informações dos usuários; 
* shadow -> contém as informações das senhas dos usuários; 
* group -> contém as informações dos grupos e usuários que fazem parte deles; 
* gshadow -> contém informações a respeito das senhas de grupo. 
Leitura Sugerida, para administração de usuários: 


dh 


passwd -> man 5 passwd 
shadow -> man 5 shadow 


Leitura Sugerida, para administração dos grupos: 


4Linux — www.4linux.com.br 7.1 Registro de usuários no sistema 


dh 


group -> man 5 group 
gshadow -> man 5 gshadow 


7.1.1 Arquivo /etc/passwd 


Cada usuário cadastrado no sistema é identificado por uma linha no arquivo “/etc/- 

passwd”. Os campos são separados pelo caractere “:” (dois pontos). O formato do ar- 

quivo “/etc/passwd” é o seguinte: usuario:x:1000:1000:User da Silva,8111-1234:/home/usuário:/bin/ 
Onde: 


Campo 1 -> Login do usuário; 


Campo 2 -> Referência da senha do usuário, pois ela fica armazenada em outro 
arquivo. 


Campo 3 -> O “UID - User Identify” é o número de identificação do usuário. Essa 
identificação é dividida conforme a categoria dos usuários: 


UID 0 -> É o número do usuário administrador “root”. 

Debian: 

UID de 1 a 999 -> São os números para usuários de sistema. 
UID de 1000 a 65535 -> São os números para usuários normais. 
CentOS: 


UID de 1 a 499 -> Sao os numeros para usuarios de sistema. 
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UID de 500 a 65535 -> Sao os numeros para usuarios normais. 


Essas definições de usuários de sistema e usuários normais podem variar nas distri- 
buições, somente o “UID 0” é padrão em todas as distribuições. 


À Campo 4 -> O “GID - Group Identity” é o numero de identificação do grupo 
primário do usuário. Essa identificação é também dividida em 3 categorias como o 
UID: 

GID 0 -> É o número do grupo administrador “root”. 

Debian: 

GID de 1 a 999 -> São os números para grupos de sistema. 

GID de 1000 a 65535 -> São os números para grupos normais. 

CentOS: 

UID de 1 a 499 -> Sao os numeros para grupos de sistema. 

UID de 500 a 65535 -> Sao os numeros para grupos normais. 

Campo 5 -> Comentários e informações adicionais sobre o usuario; 

Campo 6 -> Diretório pessoal; 


Campo 7 -> Shell do usuário; 


© Usar o comando “getent”, é a maneira certa de se acessar arquivos de controle 
no GNU/Linux. 
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7.1.2 Arquivo /etc/shadow 


As senhas dos usuários ficam armazenadas no arquivo “/etc/shadow” conhecido 
como “senhas sombras” (shadow passwords). As senhas ficam nele pois é um ar- 
quivo mais seguro que o arquivo “/etc/passwd”. No arquivo “/etc/passwd” qualquer 
usuário poderia visualizá-las e copiá-las para outro diretório ou máquina remota. Já 
o arquivo “/etc/shadow” tem suas permissões muito mais restritas, não permitindo 
que ele seja copiado e nem visualizado diretamente por um usuário comum. Isso é 
uma grande ajuda na questão de segurança, pois se as senhas estivessem no pró- 
prio “/etc/passwd” seria muito fácil para um invasor com usuário comum, copiar esse 
arquivo para outro servidor e aplicar uma ferramenta de “brute force” para quebrar as 
senhas. 


O suporte a senhas “shadow” costuma vir ativado por padrão em todas as distribui- 
ções. Em algumas delas, se forem instaladas no modo “expert”, é possível optar 
por ativar ou não esse suporte. É sempre recomendado deixar as senhas “shadow” 
ativadas. 


Caso encontremos algum servidor GNU/Linux sem as senhas “shadow” configura- 
das, podemos utilizar o comando “pwconv” para ativá-las e “pwunconv” para desativá- 
las. 


© Em relação as senhas “shadow” e os comandos “pwconv” e “pwunconv”, muitas 
perguntas podem ser feitas na prova. Fique atento! 


O arquivo “shadow” não trata somente a questão de segurança de senhas. Ele tam- 
bém trata de políticas de contas do usuário, como, por exemplo, por quantos dias a 
conta de um usuário é válida? Quando vai expirar? Quando deve ser a troca de se- 
nha? E alguns outros parâmetros que podem ser alterados manualmente ou usando 
o comando “chage”. 
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7.2 Levantamento de informações dos usuários 


7.2.1 Comando chage 


O comando “chage” configura algumas características da senha, como: data de 
validade, data de aviso de troca, dentre outras. O Nome do usuário no exemplo é 
“aluno”, fique atento, porque esse comando é muito útil em seu dia-a-dia: 


# chage -E 03/08/2012 aluno 


# chage -1 aluno 


Última mudança de senha Sete 25220011 

Esta senha expira em : nunca 

Senha inativa : nunca 

Conta expira em : Mar 08, 2012 

Número mínimo de dias entre mudanças de senha : 0 
Número maximo de dias entre mundanças de senha : 99999 
Número de dias de aviso antes da senha expirar : 7 


7.2.2 Comando id 


O comando “id” mostra as informações de “UID”, “GID” e grupos secundários dos 
usuários. Para ver essas informações do usuário corrente, fazemos da seguinte 
forma: 


Para ver as informações do usuário aluno utilize a seguinte sintaxe: 


# id aluno 
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7.2.3 Comando groups 


A lista dos grupos existentes no sistema é armazenada em /etc/group. 


O uso do comando groups, sem parâmetros, faz com que o sistema informe os gru- 
pos dos quais o usuário é membro. 


# groups 


Para ver qual grupo o usuário aluno pertence utilize a seguinte sintaxe: 


# groups aluno 


7.2.4 Comando finger 


O comando “finger” é mais amigável e nos traz maiores informações como: Lo- 
gin, Nome, Diretório “nome”, “Shell”, número de e-mails não lidos e os horários das 
últimas autenticações que esse usuário realizou. 


# finger aluno 


7.2.5 Comando users 


O comando “users” mostra de maneira bem simples os usuários que estão logados 
no sistema. A sintaxe do comando “users” é a seguinte: 
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# users 


7.2.6 Comando who 


O comando “who” mostra quais usuários estão logados na máquina. Traz informa- 
ções adicionais sobre qual terminal está sendo utilizado, o momento e a partir de 
qual máquina foi feito o “login” de cada usuário. 


# who 


7.2.7 Comando w 


O comando “w” é similar ao “who”, mas traz também informações sobre o que 
cada usuário está fazendo, tanto local quanto remotamente. Esse comando é muito 
util para ver se não existem conexões indevidas em nosso sistema. 


A sintaxe do comando “w” para visualizar todos os usuários logados é a seguinte: 


Para visualizar se o usuário aluno está logado a sintaxe é a seguinte: 


# w aluno 
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7.3 Criando grupo 


Um usuário sempre deve pertencer a um grupo primário, mas pode ser adicionado a 
grupos secundários, normalmente usado dentro de uma estrutura empresarial onde 
os usuários precisam pertencer a vários grupos para terem acessos a arquivos de 
outros setores. 


7.3.1 Comando addgroup 


Adiciona um grupo ao sistema. ou adiciona um usuário a um grupo. 
Só funciona no Debian: 


Adicione o grupo rede e grupo internet: 


# addgroup rede 
# addgroup internet 


CentOS: 


Não existe o comando. 


7.3.2 Comando groupadd 


O comando groupadd cria um novo grupo usando valores especificados na linha de 
comando e os valores padrões do sistema. O novo grupo será criado nos arquivos 
do sistema, conforme o requerido. Adicione o grupo aula: 
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# groupadd aula 


7.3.3 Comando adduser 


Só funciona no Debian: 


Adicione o grupo empresa e social: 


# adduser --group empresa 
# adduser --group social 
CentOS: 


Nao funciona no CentOS devido ao comando ser um link para o comando "use- 
radd". 


7.4 Criando Usuários 


Antes de criarmos um usuário, vamos definir o que conterá por padrão em seu di- 
retório home, isto é definido no arquivo ”/etc/skel”, tudo o que estiver dentro deste 
diretório será adicionado ao home do usuário por padrão. Crie um diretório e um 
arquivo dentro do diretório /etc/skel: 


# mkdir /etc/skel/importante 
# touch /etc/skel/atividades.txt 
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7.4.1 Comando adduser 


"A 


O comando "adduser"é um "script"customizado que trabalha como o comando "use- 
radd". O "adduser"é bastante utilizado por administradores que precisam cadastrar 
usuários no formato tradicional, ou seja, com nome, senha e grupo, definindo, além 
disso ele também pode criar grupos e adicionar usuários em grupos. 


w No caso do CentOS, o comando “adduser” é um link para o comando “use- 
radd”. 


Este comando pode ser usado de várias formas, mas a sintaxe mais utilizada é a 
seguinte: 


Debian: 
# adduser [usuário] 
Adicione o usuário mandark e a usuária meemee: 


# adduser mandark 


# adduser meemee 


Dessa maneira ele adicionará o usuário, já pedindo para definir sua senha e as infor- 
mações adicionais. Automaticamente, ele já cria um grupo com o mesmo nome do 
usuário e copia todos os arquivos que estão no diretório “/etc/skel” para o diretório 
“nome” do usuário. 


Visualize os grupos que o usuário mandark pertence e também os arquivos/diretórios 
criados a partir do /etc/skel em seu diretório home: 
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# id mandark 
# ls /home/mandark 


CentOS: 


O comando adduser no CentOS é um link para o comando useradd. Veja o comando 
"useradd". 


7.4.2 Comando useradd 


Podemos também adicionar usuários através do comando “useradd”, que é um pouco 
mais complexo e precisa de alguns parâmetros a mais. 


Adicione o usuário levinsky e o usuário leelee: 


# useradd leelee 


# useradd levinsky 


Tente se logar com o usuário “levinsky” em um terminal e repare que não é pos- 
sível, pois ainda não foi definida uma senha para ele. Adicione uma senha para o 
usuário: 


# passwd levinsky 


Agora tente se logar no terminal com o usuário levinsky e veja que, é possível após 
ser definida a senha. Mas tente se logar na parte gráfica e veja o que acontece, não 
é possível, pois o usuário não tem diretório home. 


Para criar o usuário “deedee” com os principais atributos faça: 
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# useradd -m -s /bin/bash -u 3000 -g 100 -p ‘perl -e "print crypt 
(1234567 MS alt) ai. deedee 


Acima criamos o usuario deedee, onde: 

-m -> cria diretório home, caso ele não exista 

-S -> shell do usuário 

-u -> UID 

-g -> GID 

-p -> senha criptografada 

perl -e “print crypt(123456, “salt”)’ -> criptografar senha 123456 no formato crypt 


Verifique o UID e GID do usuário vendas: 


# id deedee 


Logue-se com o usuário deedee no terminal e na parte gráfica. 


7.5 Adicionando usuário ao grupo 


7.5.1 Comando addgroup 


O comando addgroup pode ser utilizado para adicionar um usuário a um grupo. Adi- 
cione o usuário mandark ao grupo rede, aula e aluno: 
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# addgroup mandark rede 
# addgroup mandark aula 


# addgroup mandark aluno 
CentOS: 


Näo existe o comando. 


7.5.2 Comando adduser 


So funciona no Debian: 


O comando adduser também é utilizado para adicionar um usuário à um grupo, sua 
sintaxe é: 


# adduser [usuário] [grupo] 


Adicione o usuário mandark ao grupo empresa: 


# adduser mandark empresa 


Visualize os grupos que o usuário pertence: 


# id mandark 


CentOS: 
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O comando adduser no CentOS é um link para o comando useradd. Veja o comando 
"useradd". 


7.5.3 Comando gpasswd 


O comando “gpasswd” pode ser utilizado para definir a senha de um grupo. Utili- 
zando a opção “-a” podemos adicionar um usuário a um grupo secundário. 


Para adicionar um usuário a um grupo secundário a sintaxe é a seguinte: 
# gpasswd -a [usuário] [grupo] 
Adicione o usuário mandark ao grupo internet e social: 


# gpasswd -a mandark internet 


# gpasswd -a mandark social 


Visualize: 


# id mandark 


7.6 Deletando usuário de um grupo 


7.6.1 Comando deluser 


Só funciona no Debian: O comando deluser também é utilizado para remover um 
usuário de um grupo: Delete o usuário mandark do grupo rede: 
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# deluser mandark rede 
Visualize: 

# id mandark 

CentOS: 


Não tem o comando. 


7.6.2 Comando gpasswd 


O comando gpasswd pode ser utilizado para remover um usuário de um grupo se- 
cundário. Para remover um usuário de um grupo secundário a sintaxe é a seguinte: 


# gpasswd -d [usuário] [grupo] 


Removendo o usuário mandark do grupo internet: 


# gpasswd -d mandark internet 


Visualize: 


# id mandark 
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7.6.3 Comando delgroup 


Remove um usuário de um grupo. Só funciona Debian: 


Remova o usuário mandark do grupo social: 


# delgroup mandark social 


Visualize: 


# id mandark 


7.7 Removendo usuários 


A remoção de usuários pode ser feita de duas formas. A primeira é mantendo o dire- 
tório “home” do usuário e a segunda, removendo também o “home”. É aconselhável 
que se remova o diretório do usuário para que um próximo usuário adicionado ao 
sistema não acabe como dono daquele diretório e tendo acesso a informações às 
quais ele não deveria ter. Isso pode acontecer porque a delegação de “UID's” é se- 
quencial. Mas para remover o usuário com o seu diretório, também é aconselhável, 
antes, fazer um backup de tudo o que aquele usuário possuía ou transferir todos os 
arquivos para o responsável. O usuário que será removido não pode estar logado. 


7.7.1 Comando userdel 


A sintaxe para remover o usuário e manter o seu diretório home é a seguinte: 


Linux System Administration Página 19 


7.7 Removendo usuários 4Linux — www.4linux.com.br 


# userdel [usuário] 


Remova a usuária meemee: 


# userdel meemee 


Repare que a usuária meemee foi removida, mas seu diretório home não: 


# ls -1 /home 


O problema aqui é que o próximo usuário que for criado, herdará o diretório pra si, 
veja: 


# adduser herdeiro 
# ls -1 /home 


Além de ser criado um diretório home, ele também herda o do usuario anterior, isto 
acontece porque Os usuarios sao criados conforme os UID’s disponiveis na sequén- 
cia. Para remover o usuario e o seu diretério “home”, é necessario utilizar a opçäo 
“r da seguinte forma: 


# userdel -r [usuário] 


Remova o usuário deedee e seu diretório home: 


# userdel -r deedee 
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Verifique que foi deletado o diretério home do usuario deedee: 


# ls -1 /home 


7.7.2 Comando deluser 


Só funciona no Debian: O comando deluser deleta um usuário. Delete o usuário 
levinsky: 


# deluser levinsky 

Verifique que o diretério home do usuario nao foi removido: 
# ls -1 /home 

Adicione novamente o usuario levinsky: 

# adduser levinsky 

Delete o usuario levinsky e seu diretério home: 

# deluser levinsky --remove-home 

Verifique que o diretério home do usuario foi removido: 


# ls -1 /home 
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Adicione novamente o usuario levinsky: 

# adduser levinsky 

Delete o usuario levinsky e faça um backup do seu diretório home: 
# deluser levinsky --remove-home --backup 

Verifique que seu diretório home foi compactado: 

# ls -1 /home 


Para complementar a seção removendo usuários com o comando deluser é muito 
interessante olhar o arquivo “/etc/deluser.conf”. 


CentOS: 


Não tem o comando. 


7.8 Removendo grupos 


7.8.1 Comando deluser 


O comando deluser pode também deletar um grupo, desde que este não seja o 
grupo primário de um usuário. Vamos deletar o grupo criado anteriormente chamado 
empresa: 
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# deluser --group empresa 


7.8.2 Comando groupdel 


Apaga um grupo do sistema. Quando é usado, este comando apaga todos os dados 
do grupo especificado dos arquivos de contas do sistema. Nao é possivel remover o 
grupo primario de um usuario. Remova o usuario primeiro. 


Visualize que o usuario mandark pertence ao grupo aula que criamos anteriormente: 


# id mandark 


Removendo o grupo aula: 


# groupdel aula 


Visualize que o usuario mandark nao pertence mais ao grupo aula: 


# id mandark 


7.8.3 Comando delgroup 


Remove um grupo do sistema. Remova o grupo internet: 


# delgroup internet 
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CentOS: 


Não existe o comando. 
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Administracao de Usuarios II 


8.1 Modificando Usuarios 


A modificação de usuarios é limitada ao usuário “root”. Iremos aprender aqui como 
mudamos alguns parâmetros que são necessários no dia-a-dia, como troca de se- 
nhas, grupos e controle de “login”. 


8.1.1 Comando passwd 


Depois do usuário ter sido criado podemos usar alguns comandos para modificar sua 
conta. O primeiro será o “passwd” que possibilita adicionar ou modificar a senha de 
um usuário. As principais sintaxes que podem ser utilizadas nesse comando estão 
descritas abaixo. 


Para modificar a senha do usuário corrente: 


# passwd 


À Caso esteja modificando a senha de um usuario normal, primeiro sera so- 
licitada a senha corrente para permitir a definição de uma nova senha. Isso não 
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acontece com o usuário “root”, que pode definir a nova senha diretamente, tanto 
para ele quanto para os outros usuários. 


Para modificar a senha do usuário mandark: 
# passwd mandark 

Para bloquear a conta do usuario mandark: 
# passwd -1 mandark 


Tente se logar com o usuario mandark, não é possível, pois sua conta esta bloque- 
ada. Para desbloquear a conta do usuário mandark: 


# passwd -u mandark 


Agora o usuário já pode se logar. 


8.1.2 Comando usermod 


Para modificar nomes de grupos do sistema, utilizamos o comando: 


# groupmod -n [novo-nome] [nome-grupo] 


groupmod -n vendas rede 
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Outro comando que pode ser utilizado para modificar parâmetros do usuário é o 
“usermod”. Ele possibilita alterar qualquer tipo de informação relativa ao usuário. 
Um dos parâmetros que pode ser modificado é o grupo primário, usando-se a opção 
“9”. Com a opção “-G”, podemos alterar os grupos secundários. 


A sintaxe para modificar o grupo primário de um usuário é a seguinte: 
# usermod -g [grupo] [usuário] 

Verifique o grupo primário do usuário mandark: 

# id mandark 

Altere seu grupo primario para audio: 

# usermod -g audio mandark 


As alterações podem ser visualizadas no arquivo “/etc/passwd” no campo “GID”, 
ou diretamente no arquiivo “/etc/group”. Para trocar todos os grupos secundários 
pelos grupos aluno e vendas, faça: 


# usermod -G aluno, vendas mandark 
Visualize: 

# id mandark 

Altere seu grupo primário para mandark: 
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# usermod -g mandark mandark 


Para mudarmos o campo de informações dentro do arquivo “/etc/passwo”, precisa- 
mos usar o comando “usermod” com a opção “-c”. 


# usermod -c "Dpto vendas" mandark 
# getent passwd | grep mandark 
mandark:x:1001:1001:Dpto mandark:/home/mandark:/bin/bash 


Outras opções do comando: 


-d diretório [-m] : cria um novo diretório home para o usuário. A opção -m faz com 
que o diretório atual do usuário seja movido para o novo diretório. 


-e mm/dd/yy : altera a data de expiração da conta do usuário. 


-| nome : altera o nome de identificação do usuário (o usuário não pode estar lo- 
gado). 


-S shell : altera o shell do usuário. 
-u uid : altera o número de UID do usuário. 


-L : bloqueia a conta acrescentando um 
“/etc/passwd” 


no inicio da linha do usuario no arquivo 


-U : desbloqueia a conta 
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8.2 Alteração do Dono e Grupo 


Como ja vimos, cada arquivo e diretério possui um dono e um grupo. Para altera-los 
podemos utilizar os comandos “chown” e “chgrp” como nos exemplos a seguir. 


Vamos criar o diretório home do usuário leelee que ainda não existe: 
# mkdir /home/leelee 


Como criamos como usuario root, o dono e o grupo do diretério criado pertencem ao 
usuario root e grupo root: 


# ls -ld /home/leelee 
drwxr-xr-x 2 root root 4096 2011-11-08 18:00 leelee 


Temos que mudar o usuario e grupo para o usuario leelee e seu grupo primario 
leelee. Alterando apenas o grupo de root para leelee: 


# chgrp leelee /home/leelee 
Visualize: 


# ls -ld /home/leelee 
drwxr-xr-x 2 root leelee 4096 2011-11-08 18:00 leelee 


Outra forma de trocar apenas o grupo é com o comando chown, veja sua sintaxe: 
# chown [dono.grupo] [arquivo] -> troca dono e grupo 
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chown [dono:grupo] [arquivo] -> troca dono e grupo 
chown [dono] [arquivo] -> troca apenas o dono 
chown [dono.] [arquivo] -> troca dono e grupo "mesmo grupo prima 
rio do dono” 
# chown [dono:] [arquivo] -> troca dono e grupo "mesmo grupo prima 
rio do dono” 
chown [.grupo] [arquivo] -> troca o grupo 


chown [:grupo] [arquivo] -> troca o grupo 


Troque o dono para leelee: 


# chown leelee /home/leelee 


Visualize: 


# ls -ld /home/leelee 
drwxr-xr-x 2 leelee leelee 4096 2011-11-08 18:00 leelee 


Troque a senha do usuario leelee: 


# passwd leelee 


Agora se logue na parte gráfica como usuario leelee. Para poder alterar o dono/- 
grupo de arquivos e diretórios dentro do diretório utilize o parâmetro “-R” para fazer 
a alteração recursiva 
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8.3 Introduçäo a tipos de permissôes 


O GNU/Linux é um sistema multi-usuário e portanto, possui um esquema de per- 
missões que provê a privacidade e/ou compartilhamento de arquivos entre usuários. 
Na verdade, esse esquema de permissões é parte fundamental do sistema. Neste 
capítulo, iremos aprender sobre ele e também como criar e remover contas de usuá- 
rios. 


Quando começamos a trabalhar com usuários no sistema GNU/Linux podemos dividi- 
los em três categorias: 


* Usuário Administrador (Super Usuário): usuário conhecido como “root” no 
sistema. É esse usuário que controla todo o sistema e não possui nenhuma 
restrição. Mas devemos ter uma certa cautela ao usá-lo pois com qualquer 
deslize podemos danificar todo o sistema; 


Usuários de Sistema: são aqueles que não precisam “logar” no sistema, são 
utilizados para controlar serviços. Esses usuários não devem possuir senhas 
nem “Shell” valida. Um exemplo desses usuários é o “www-data” que é usado 
exclusivamente para controlar o servidor web “Apache”; 


* Usuários comuns: são utilizados para trabalhar no sistema GNU/Linux. São 
contas criadas para aqueles que utilizam ou operam o sistema. É sempre acon- 
selhável que cada usuário comum ou administrador tenha sua própria conta e 
só utilize a conta “root” para administração do sistema. 


Tanto para o usuário “root”, quanto para o usuário comum, é sempre aconselhável 
ter uma boa política de criação de senhas, para que um possível invasor não se 
aproveite de um usuário com uma senha fraca. Até mesmo um usuário comum, 
precisa tomar cuidado com a sua senha, pois esse seria o primeiro passo para o 
invasor escalar privilégios no sistema, e virar o usuário administrador “root”. Evite 
usar senhas com datas de aniversário, casamento e outras datas que são fáceis 
de serem descobertas. Evite usar palavras listadas em um dicionário. Uma boa 
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dica é mesclar a senhas com letras maiúsculas e minúsculas, números e caracteres 
especiais. 


À Alguns sistemas GNU/Linux podem ter usuarios que chamamos de administra- 
dores. Esses usuarios nao vém configurados por padrao, eles sao usuarios normais 
mas que possuem alguns privilégios a mais em algumas aplicações. 


Para que os usuarios comuns e o “root” tenham acesso ao sistema e consigam tra- 
balhar normalmente, sao necessarios 5 elementos. 


* Nome; 

* Senha; 

* Diretório Home; 
e Shell; 

* Grupo Primário; 


Devemos ter em mente que um usuário sempre deve estar vinculado a um grupo, 
pois isso afeta diretamente a questão de permissões dentro do sistema. 


8.4 Permissões 


Cada arquivo no sistema possui três permissões básicas: 


r (4) -> read - para leitura; 
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w (2) -> write - para escrita; 
x (1) -> execute - para execução; 


A cada permissão é atribuído um valor, mostrado entre parênteses, que será utilizado 
para a definição de permissões. 


Além disso, cada arquivo contém três conjuntos de permissões, sendo elas: 
permissão do dono (u) - “user” do arquivo; 
do grupo (9) - “group” ao qual o arquivo pertence; 


outros (0) - “others” aqueles que não pertencem ao grupo e não são os donos do 
arquivo; 


Sendo assim, considere a seguinte saída do comando Is -l, para um arquivo: permis- 
são do arquivo: 


-rw-r--r-- 1 root root 0 Jan 15 09:52 arquivo 


E para um diretório: permissão do diretório: 


drwxr-xr-x 2 root root 4096 Jan 15 09:52 diretório 


Vamos entender o que essas linhas significam. O primeiro caractere pode ser: 
“.” -> indicando a listagem de um arquivo comum”; 


d -> indicando um diretório; 


| -> indicando um “link” simbólico; 
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p -> indicando um “pipe” nomeado; 

S -> indicando um “socket”; 

c -> indicando um dispositivo de caractere; 

b -> indicando um dispositivo de bloco. 

Os próximos três conjuntos de três caracteres indicam as permissões do usuário 
dono do arquivo, permissões de grupo e permissões para outros usuários. Nesses 
três conjuntos, se o caractere encontrado for um “-” (hífen) significa que a permissão 
está ausente, ou seja, não há a respectiva permissão. Se alguma ou todas as letras 
(r, w e x) forem encontradas, indicará as permissões que o arquivo tem permissões 
definidas. 

Seguindo o conjunto de permissões, há um número que indica a quantidade de “links” 
simbólicos que o arquivo ou diretório tem. Após o número de “links”, vem a indicação 
do usuário dono do arquivo, seguido do grupo ao qual ele, o arquivo ou diretório, 
pertence. 


Já criado aluno, mandark no grupo aluno 


Vamos criar um arquivo para testes, se logue como usuário aluno: 


$ cd /tmp 


$ touch arquivo 


Visualize a permissão do arquivo criado: 


$ ls -l /tmp/arquivo 


-rw-r--r-- 1 aluno aluno 0 2011-11-04 12:17 arquivo 


Sua permissão para o dono é Leitura e escrita: r w - 
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Sua permissão para grupo é Somente leitura: r - - 
Sua permissão para outros é Somente leitura: r - - 


O comando para trocar as permissões é o chmod. Há duas sintaxes possíveis: literal 
e ocial. 


8.4.1 LITERAL 


$ chmod u-rw /tmp/arquivo 


O parâmetro “u-rw” é que define o esquema de permissões. A primeira letra indica 
para qual(is) usuário(s) as permissões estão sendo alteradas. Usamos a letra “u” 
para indicar o próprio dono, “g” para indicar o grupo, “o” para outros e ainda a letra 
“a” para indicar todos. 


O caractere seguinte poderá ser um sinal de “=” para deixar a permissão igual à que 


se deseja, “+” para garantir a permissão ou “-” para retirar a permissão. Por fim, 
detalhamos a permissão: A letra “r” significa leitura, “w” escrita e “x” execução, 
como era de se esperar. 


Assim, o exemplo anterior retira as permissões de leitura e escrita para o usuário 
dono do arquivo. 


Verifique novamente a permissão do arquivo: 


$ ls -l /tmp/arquivo 
----r--r-- 1 aluno aluno 0 2011-11-04 12:17 arquivo 


Sua permissão para o dono é Nenhuma: - - - 
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Sua permissão para grupo é Somente leitura: r - - 
Sua permissão para outros é Somente leitura: r - - 


As permissões seguem uma ordem dono, grupo, outros, ou seja, se você é o dono as 
permissões que se encaixam no seu perfil é a de dono, mesmo que você pertença 
ao grupo, as permissões de dono prevalecem. 


Tente visualizar o arquivo como usuário aluno: 
$ cat /tmp/arquivo 


Agora se logue com o usuário mandark, que pertence ao grupo aluno, em outro 
terminal e tente ler o arquivo: 


$ cat /tmp/arquivo 


As permissões de grupo permitem que ele abra o arquivo para leitura, mas não para 
escrita: 


$ echo oi >> /tmp/arquivo 


Vejamos mais um exemplo, como usuário aluno faça: 


$ chmod g+w /tmp/arquivo 


Este comando adiciona a permissão de escrita para os usuários que fazem parte do 
mesmo grupo ao qual o arquivo pertence. As demais permissões não são altera- 
das. 
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Se logue com o usuario mandark que pertence ao grupo aluno e tente escrever no 
arquivo. 


$ echo tchau >> /tmp/arquivo 


$ cat /tmp/arquivo 

Fazendo o teste com diretório, como usuario aluno crie um diretório: 
$ mkdir /tmp/diretorio 

Verifique a permissão do diretório: 


$ ls -ld /tmp/diretorio 
drwxr-xr-x 2 aluno aluno 4096 2011-11-04 17:02 diretorio/ 


Crie um arquivo dentro do diretório: 
$ touch /tmp/diretorio/novo 
Visualize e acesse o diretório: 


$ ls -1 /tmp/diretorio 
$ cd /tmp/diretorio 


Retire o acesso ao diretório para todos os usuários: 


$ cd 


$ chmod a-x /tmp/diretorio 
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Agora tente acessar o diretório: 


$ cd /tmp/diretorio 


Não é possível isso porque o x é o responsável por dar acessos ao diretório, mas 
ainda é possível visualizar o conteúdo do diretório: 


$ ls /tmp/diretorio 


Visualize as permissões do diretório e do arquivo: 


$ ls -ld /tmp/diretorio 
drw-r--r-- 2 aluno aluno 4096 2011-11-04 17:02 diretorio/ 
$ ls -l /tmp/diretorio/novo 


ÉDITER) ET? ? novo 


8.4.2 OCTAL 


A segunda sintaxe é a forma numérica. Neste caso, o parâmetro que define as 
permissões é composto de três números de 0 a 7, que correspondem às permissões 
para o usuário dono, para o grupo e para outros. Cada número é formado pela soma 
das permissões atribuídas, sendo que execução vale 1, escrita vale 2 e leitura 
4. 
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Vejamos um exemplo: 


# chmod 640 /tmp/arquivo 


Neste caso, estamos atribuindo a permissão de: 

leitura e escrita 6 (r=4 + w=2) ao usuario dono 

leitura 4 (r=4) ao grupo 

0 (sem permissôes) a outros usuarios 

E importante observar que quando usamos a forma literal, alteramos apenas o pa- 


rametro especificado, nao alterando as demais permissôes. Ja na forma numérica, 
alteramos todas as permissôes simultaneamente. 


8.4.3 Exemplos de permissoes 


Comando para atribuir permissao total a um arquivo chamado naofazer: 


# touch /tmp/naofazer 
# chmod 777 /tmp/naofazer 
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Ou 

# chmod atrwx /tmp/naofazer 

Ou 

# chmod ut+rwx,gtrwx,otrwx /tmp/naofazer 
Verifique a permissao: 


# ls -1 /tmp/naofazer 


-rwxrwxrwx 1 root root O 2011-11-06 22:17 naofazer 


Evite dar permissão total para um arquivo ou diretório a não ser que seja realmente 
preciso. 


Y Não se deve fazer isso em nenhum tipo de arquivo, isso é apenas um exem- 
plo!!! 


Comando para retirar a permissão de escrita de todos os usuários do arquivo “nao- 
fazer”: 


# chmod 666 /tmp/naofazer 


Ou 


# chmod a-x /tmp/naofazer 
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Ou 


# chmod u-x,g-x,o-x /tmp/naofazer 


Visualize: 


# ls -1 /tmp/naofazer 


Comando para alterar a permissão padrão do arquivo “arquivo” para que todos os 
usuários apenas possam lê-lo. 


# chmod 444 /tmp/arquivo 


Visualize: 


# ls -l /tmp/arquivo 


Utilizando o exemplo anterior do modo Literal, vamos alterar a permissão recursiva- 
mente, dando permissão total somente para o dono: 


ANTES: 


# ls -ld /tmp/diretorio 
drw-r--r-- 2 aluno aluno 4096 2011-11-04 17:02 diretorio/ 


# ls -l /tmp/diretorio/novo 
-rw-r--r-- 1 aluno aluno 0 2011-11-04 17:40 novo 


# chmod -R 700 /tmp/diretorio 
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DEPOIS: 


# ls -ld /tmp/diretorio 

drwx------ 2 aluno aluno 4096 2011-11-04 17:02 diretorio/ 
# ls -l /tmp/diretorio/novo 

=CWX=-—--- 1 aluno aluno 0 2011-11-04 17:40 novo 

8.5 Umask 


O “umask” altera o valor da máscara de criação de arquivos e diretórios. Essa 
“máscara” é utilizada para definir o “permissionamento” padrão de um arquivo ou 
diretório quando ele é criado. 


Debian: 


O valor padrão da "umask” fica armazenada no arquivo "/etc/login. 


defs”. Caso não exista adicione umask <valorN daN umask>. 
EXS: 
umask 0022 
O primeiro "0" significa modo octal, pode-se passar o valor em 
hexadecimal colocando "0x" como prefixo. 


CentOS: 


O valor padrão da "umask” fica armazenada no arquivo "/etc/bashrc” 


Para visualizar a umask atual: 
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# umask 


A No Debian: a umask padräo é de “0022” No CentOs: a umask varia de acordo 
com o usuário, quando seu UID é maior do que 99 e seu grupo tem o mesmo numero 
do UID, sua umask é 0002, caso contrário será 0022. 


8.5.1 Calculo da umask 


Para Diretorio: 


Para calcular a “umask” para um diretório, pegue a permissão total que um diretório 
pode chegar, “777”. Subtraia “a sua umask atual”. 


EX: umask 022 


777 permissão máxima para um diretório - 022 umask atual = 755 permissão do 
diretório a ser criado 


Ex: umask 033 


777 permissão máxima para um diretório - 033 umask atual = 744 permissão do 
diretório a ser criado Para Arquivo: 


Para calcular a “umask” para um arquivo, saiba que um arquivo não pode ser criado 
com permissão de execução por padrão, esta permissão só pode ser passada para 
ele manualmente. Logo a permissão do arquivo não pode ser ímpar, porque o bit de 


execução vale 1. Como calcular? Ex: umask 022 


777 Permissão máxima para um arquivo - 022 umask atual = 755 permissão para o 
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arquivo, mas lembre-se nao pode ter permissão de execução, então subtraia 1 dos 
bits que sejam ímpares: 


755 - 111 retirando os bits de execução = 644 permissão real do arquivo 

Ex: umask 033 

777 Permissão máxima para um arquivo - 033 umask atual = 744 permissão para o 
arquivo, mas lembre-se não pode ter permissão de execução, então subtraia 1 dos 
bits que sejam ímpares: 


744 - 100 retirando os bits de execução = 644 permissão real do arquivo 


Repare que a permissão não muda para o arquivo com a umask 022 e umask 033. 


© Lembre-se da regra de calculo de “umask”. Pensar da forma que o sistema 
funciona pode te confundir na prova: Para diretórios: Sempre substituir de 777; Para 
arquivos: Verificar o “umask”. Se o número for ímpar, subtrair somente onde temos 
execução, em números pares mantemos os números. 


8.6 Permissões Especiais 


Há um conjunto especial de permissões, conhecido também como “bits” especiais, 
sendo eles: 


Significado | vao | 
sup | Sesi | a 


Ds | Sica [2 
Sticky Bit SückyBt | t 





O “SUID bit” é atribuido a um arquivo binario com permissao de execugao, quando 
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desejamos que um usuario qualquer execute o comando com as permissôes do 
usuario dono do comando. Se esse comando pertencer ao usuario “root” um usuario 
qualquer irá executá-lo com as permissões de “root” desde que tenha permissões 
para executá-lo. Por esse motivo o “SUID” constitui uma grande ameaça de segu- 
rança e sua utilização deve ser bastante cautelosa. 

O “SGID bit” é geralmente atribuível a diretórios. Quando um arquivo é criado dentro 
de um diretório com “SGID bit” ativado, o conteúdo gravado dentro do diretório irá 
herdar o grupo do diretório e não o grupo do usuário que criou tal conteúdo. Este 
“bit” especial é muito útil quando utilizamos diretórios para grupos de trabalhos e em 
servidores de arquivos. 


O “Sitcky bit” era bastante utilizado para realizar otimizações de acesso a conteú- 
dos, entretanto, a partir da série 2.6 do kernel do Linux essa tarefa é realizada dire- 
tamente pelo kernel. A única utilidade desse “bit”, atualmente, é fazer diretórios de 
utilização comum a todos os usuários, como no “/tmp”. Quando esse “bit” está ativo 
em um diretório, todo conteúdo criado dentro dele pertencerá ao criador do conteúdo 
e por mais que ele atribua a esse conteúdo permissões totais para todos os usuários, 
o único que poderá excluir o arquivo ou diretório será o próprio dono ou o “root” ou 
ainda o dono do diretório que tem a permissão. Para atribuirmos esses “bits” especi- 
ais, procedemos da mesma forma que nas permissões comuns, somando os valores 
e utilizando o comando “chmod”, mas agora utilizando quatro números, o primeiro 
número sendo o “bit” especial, seguido dos três da permissão padrão. 


Veja o exemplo abaixo: 


chmod 4000 /tmp/a 
chmod 2000 /tmp/b 
chmod 1000 /tmp/c 


eS Di 1 caio caio 0 2008-07-21 13:50 a 
En onu ne S--- 1 caio caio 0 2008-07-21 13:50 b 
once T 1 caio caio 0 2008-07-21 13:50 c 
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O “bit” especial para o campo de permissôes do dono é o “SUID” representado por 


“s” ou “S”. Para o grupo é “SGID” também representado por “s” ou “S”. Já o campo 
de permissões de outros usuários, o “Sticky BIT”, é representado por “t” ou “T”. 


Veja que quando o arquivo ou diretório não tem permissão de execução, o “bit” espe- 
cial é representado por uma letra “S” (Upper Case), e quando possuem uma permis- 
são de execução, o “bit” especial é apresentado como “s” (Lower Case). O mesmo 


acontece com o “Sticky bit”, mas com a letra “t” e “T”. 


Exemplo dos bits especiais com permissão de execução: 


# chmod 4100 /tmp/a 
# chmod 2010 /tmp/b 
# chmod 1001 /tmp/c 


a O Ge 1 root root 0 2008-07-21 13:50 a 
sit s--- 1 root root 0 2008-07-21 13:50 b 
SPSS t 1 root root caio 0 2008-07-21 13:50 c 


© Todas as permissões especias que não contiverem execução sao maiúsculas. 
EG e np 

Exemplos: 

Suid Bit: 


Podemos usar como exemplo o comando “passwd”. 


# ls -l /usr/bin/passwd 
-rwsr-xr-x 1 root root 31640 2008-06-12 20:39 /usr/bin/passwd 
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Os nossos usuários comuns só podem mudar sua senha pois o comando passwd 
está com o “bit SUID” ativado. 


Desabilite o Suid: 


# chmod 755 /usr/bin/passwd 
# ls -l /usr/bin/passwd 


Agora se logue como aluno e tente mudar sua senha: 

$ passwd 

Não é possível, pois o aluno não tem permissão de escrita nos arquivos: 
/etc/passwd e /etc/shadow. 

Como root, volte a permissao original: 


# chmod 4755 /usr/bin/passwd 
# ls -1 /usr/bin/passwd 


SGID Bit: 


Crie um diretório com permissão total para qualquer usuário: 


# mkdir /teste 
# chmod 777 /teste 


Agora qualquer usuário tem acesso ao diretório teste. 
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Como usuário aluno crie um arquivo no diretório teste: 
$ touch /teste/numerol 
Verifique quem é o dono e quem é o grupo do arquivo criado: 


$ ls -1 /teste 


-rw-r--r-- 1 aluno aluno 0 2011-11-07 11:01 numerol 


Verifique que o grupo é o mesmo do usuário. 


Agora como root altere a permissão do diretório teste, adicionando o SGID Bit: 
# chmod 2777 /teste 

Novamente como usuário aluno, crie um novo arquivo dentro do diretório teste: 
$ touch /teste/numero2 

Verifique quem é o dono e quem é o grupo do arquivo criado: 


$ ls -l /teste 
-rw-r--r-- 1 aluno aluno 0 2011-11-07 11:01 numerol 


-rw-r--r-- 1 aluno root 0 2011-11-07 11:19 numero2 


Visualize que o grupo agora nao é mais o do usuário e sim o mesmo do diretório. 


Stick Bit: 
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Como root modifique novamente a permissão do diretório teste, adicione o Stick 
Bit: 


# chmod 1777 /teste 


Agora modifique as permissões dos arquivos dentro dele dando permissão total para 
todos os usuários: 


# chmod 777 /teste/x 


Agora se logue como usuário mandark, visualize as permissões do diretório e dos 
arquivos: 


$ ls -ld /teste 

drwxrwsrwt 2 root root 4096 2011-11-07 11:19 /teste 

$ ls -l /teste 

-rwxrwxrwx 1 aluno aluno 0 2011-11-07 11:01 /teste/numerol 


-rwxrwxrwx 1 aluno root 0 2011-11-07 11:19 /teste/numero2 


Agora que você viu que tem permissão total nos arquivos, tente deletar algum arquivo 
dentro do diretório teste: 


$ rm /teste/numerol 


Apesar da permissão total no arquivo, não é possível remover devido a permissão do 
diretório com Stick Bit. 
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Quotas de Disco 


8.1 Introdução Teórica 


A utilização de um sistema de quotas é um assunto tão importante quanto dividir o 
disco rígido em partições. O sistema de quotas serve para limitarmos a quantidade 
de blocos e “inodes” que um usuário ou grupo pode utilizar em uma determinada 
partição. 


Imagine um HD com 100MB de “home” e 10 usuários. Se não utilizarmos um sis- 
tema de quota por número de blocos é possível que um dos usuários resolva fazer 
o download de um arquivo de 90MB utilizando 90% do espaço disponível, fazendo 
com que os outros usuários tenham que dividir os outros 10MB livres. Se aplicarmos 
um sistema de quotas, podemos definir que cada usuário utilizará no máximo 10MB, 
de forma que cada um terá o mesmo espaço disponível, tornando a divisão justa. 


Em um cenário como este, resolvemos parte do problema, pois o usuário é capaz de 
criar um número, suficientemente grande de arquivos com tamanho zero de forma 
que ele não ocupe os 10MB atribuídos a ele mas estoure o número máximo de “ino- 
des” que o sistema de arquivos dispõe, impossibilitando assim, que outro usuário 
grave qualquer coisa neste sistema de arquivos, mesmo que haja espaço livre. 


O sistema de quotas é uma funcionalidade do “filesystem” e do kernel, sendo assim, 
ambos têm que serem capazes de suportá-lo. Uma vez que o “filesystem” suporta 
quotas, devemos adicionar os parâmetros de montagem, “usrquota” e “grpquota” ao 
“filesystem” que utilizaremos com esse sistema. Isso é feito no arquivo “/etc/fstab”. 
Além disso, temos que criar, na raiz desses “filesystems”, os arquivos de controle, 
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chamados “aquota.user” e “aquota.group”. 


Uma vez criada essa estrutura, basta editar os arquivos de controle de quotas e 
distribuir as quantidades de forma apropriada. A quota somente pode ser aplicada 
por partições. 


Instale o pacote de quota: 


# aptitude install quota 


$ # yum install quota 


Edite o arquivo “/etc/fstab” e inclua as opções de quota por usuário e por grupo em 
“home”: 


UUID=12e9cf3f -99b3-4e8e -8079-d4337b2ce9c8 /home ext3 defaults, 
usrquota,grpquota 0 2 


Remonte o “/home” para que as alterações sejam efetuadas: 
mount -o remount /home 

Verifique se as opções de quota foram aplicadas: 

# mount 


Crie os arquivos de quota na raiz da partição que receberá o sistema de quotas: 
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# quotacheck -cug /home 


-c -> cria arquivos de quota 

-u -> checa quotas de usuários 

-g -> checa quotas de grupos Caso dé erro: 
-f -> força checagem das quotas 


-m -> força checagem no filesystem montado como leitura e escrita , nao remonta o 
filesystem como somente leitura em caso de erro. 


Certifique-se de que os arquivos de controle de quota foram criados: "aquota.group"e 
“aquota.user”. 


# Is -1 /home 


Habilite a quota na partição /home: 


# quotaon /home 


Caso queira desabilitar a quota na partição o comando é: 


# quotaoff /home 


Verifique se o sistema de quota está ativo, listando as suas informações de quotas 
para usuários: 
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# repquota -va 


Verifique se o sistema de quota está ativo, listando as suas informações de quotas 
para grupos: 


# repquota -vag 


8.1.1 Quotas por Usuario 


Vamos definir qual a quantidade de recursos do HD que cada usuario podera utili- 
zar. Vamos impor que o usuario “mandark” poderá utilizar até 50MB com um limite 
maximo de 60MB ou 100 arquivos com o limite maximo de 110 arquivos. 


Editando a quota do usuário mandark: 


# edquota -u mandark 


Dentro do “edquota”, faremos as configurações para que a quota do usuário man- 
dark, seja de 50MB e ele possa criar 100 arquivos, com um limite máximo acima da 
sua quota de 10MB e 10 arquivos. Altere o arquivo para que fique como mostrado a 
seguir: 


Disk quotas for user mandark (uid 1001): 
Filesystem blocks soft hard Jinodes soft hard 
/dev/sda3 0 50000 60000 0 100 110 


Onde: 
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Filsesystem -> partição onde será aplicada a quota. 
blocks -> tamanho real utilizado em KBytes. (não é possível alterar) 


soft -> limite da quota de espaço disponível para gravação, ao ultrapassar este limite 
o usuário estoura sua quota. 


hard -> limite máximo permitido de espaço disponível para gravação, após exceder 
sua quota, existe um período de tempo chamado “grace time” para uso deste limite. 


inodes -> tamanho real utilizado em número de arquivos. (não é possível alterar) 


soft -> limite da quota de número de arquivos que podem ser criados, ao ultrapassar 
este limite o usuário estoura sua quota. 


hard -> limite máximo permitido de número de arquivos que podem ser criado, após 
exceder sua quota, existe um período de tempo chamado “grace time” para uso deste 


limite. 


Verifique se o limite já está aplicado: 
# repquota -v -a 


Já que fizemos a gentileza de determinar que o usuário poderá usar 10MB ou 10 
arquivos a mais caso ele estoure a sua quota, devemos determinar também por 
quanto tempo ele poderá usar esse espaço a mais. 


Determine que os usuários terão 5 dias de “grace period”: 


# edquota -t 


Caso o usuário estoure sua quota ele tem um tempo(grace period) antes de sua 
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conta ser bloqueada para apagar os arquivos necessários para utilizar o limite de 
sua quota. 


Consulte a quota do usuário “mandark”. 


# quota -u mandark 


Efetue login em outro terminal utilizando o usuário “mandark” e vamos rodar um 
comando para encher o disco: 


$ yes > a 


Depois que a quota estourou, volte ao terminal do “root”, examine o status da quota 
e veja se a quota do usuário mandark está estourada por espaço utilizado: 


# repquota -va 


Vamos executar o seguinte comando para estourar o numero de “inodes” permitidos 
para o usuário mandark: 


$ touch file{1..100} 


Depois que a quota estourou, volte ao terminal do “root”, examine o status da quota 
e veja se a quota do usuário mandark está também por número de arquivos: 


# repquota -va 


Quando o usuario esta com a quota estourada é possivel aumentar o "grace pe- 
riod"para ele: 
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# setquota -u mandark -T 86400 86400 /home 


Onde: -u -> defini que a quota é pra um usuário mandark -> usuário que receberá a 
definição de quota -T -> define o príodo de grace time 86400 -> tempo em segundos 
(por tamanho) 86400 -> tempo em segundos (por inode) /home -> partição que será 
definida a quota 


Voltando ao terminal logado, como usuário “mandark”, vamos apagar os arquivos 
criados: 


$ rm a filex 
Cheque os valores da quota do usuário mandark: 


# quota -u mandark 


Outra forma de definir a quota do usuário é através do comando setquota, este co- 
mando é muito útil para scripts. 


Vamos aumentar o tamanho da quota do usuário mandark: 


# setquota -u mandark 200000 210000 1000 1010 /home 


-u -> indica que será definida quota para um usuário 
mandark -> usuário que receberá os valores da quota 
200000 -> soft para espaço disponível para uso 


210000 -> hard para espaço disponível para uso 
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1000 -> soft para número de arquivos 
1010 -> hard para número de arquivos 
home -> partição para aplicar a quota 


Cheque os valores da quota do usuário mandark: 


# quota -u mandark 


8.1.2 Quotas por Grupo 


Defina quota por grupo para o grupo “users”: 


# setquota -g users 50000 60000 100 110 


Ou 


# edquota -g users 


Disk quotas for group users (gid 100): 
Filesystem blocks soft hard inodes soft hard 
/dev/sda3 0 50000 60000 0 100 110 


Verifique o status da quota por grupo: 


# repquota -vag 
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Verifique os detalhes mais avançados sobre o uso das quotas nas partições. 
# quotastats 

Adicione o usuário mandark ao grupo users: 

# adduser mandark users 

Crie um diretório para teste de quota por grupo: 

# mkdir /home/users 


Troque sua permissäo para toda vez que um arquivo for criado, pertença ao grupo 
users, para isso mude também o grupo do diretório para “users”: 


# chmod 2775 /home/users 


# chgrp users /home/users 


Acesse o diretório /home/users com o usuário mandark e estoure a quota de grupo 
por tamanho: 


$ yes > a 
Estoure a quota de grupo por número de arquivos: 
$ touch arq{1..101} 


Verifique o status da quota por grupo: 
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# repquota -vag 


8.2 Replicando quotas 


Verifique a quota por usuarios: 


# repquota -va 


O usuario mandark tem quota definida e o usuario rh nao tem, entao vamos copiar a 
quota do usuário mandark para o usuario herdeiro: 


# edquota -up mandark herdeiro 


Onde: 
-U -> usuário 
-p -> protótipo 


-g -> grupo 


Verifique a quota por usuários: 


# repquota -va 
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8.3 Criando usuário com quota definida (Só funciona 
no Debian) 


Edite o arquivo /etc/adduser.conf e adicione um usuário que já tenha uma quota 
definida na opção QUOTAUSER= . Ex: o usuario mandark já tem cota definida e 
quero passar esta quota para um usuário novo: 


# vim /etc/adduser.conf 


# linha 67 completo com o nome do usuário que tem quota definida: 


QUOTAUSER="mandark” 


Crie um usuario com o comando adduser e veja que ele ja tera quota definida: 


# adduser compras 


# repquota -va 


8.3.1 Aviso de quota excedida 


Avisos sobre quota ultrapassada podem ser enviadas automaticamente a todos os 
usuarios pelo utilitario ‘warnquota’. Ele podera ser executado periodicamente atra- 
vés do ‘cron’ (por padrao isto é feito diariamente na distribuigao ‘Debian’ pelo script 
’/etc/cron.daily/quota’), no CentOS é necessário agendar a execução do comando 
warnquota. Dados adicionais sobre o envio das mensagens devem ser especifica- 
dos no arquivo ’/etc/warnquota.conf’ seu formato é o seguinte: 


# Programa usado para enviar as mensagens 
MAIL CMD = "/usr/sbin/sendmail -t” 


# Campo de origem da mensagem 
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FROM = "root@localhost” 
# but they don’t have to be: 
SUBJECT = Quota excedida 


CC_TO = "root@localhost” 
SUPPORT = "root@localhost” 
PHONE = "5555-2525" 


O e-mail 6 enviado aos usuarios.. 


Quando a quota é por grupo deve-se eleger um usuario para receber os e-mails de 
quota excedida do grupo. 


O arquivo /etc/quotagrpadmins serve para configurar o usuario que recebera os e- 
mails de quota excedida do grupo: 


# vim /etc/quotagrpadmins 
grupo: usuario 


users: mandark 


Para receber o aviso para usuarios e para grupos execute: 


# warnquota -u 


# warnquota -g 


Caso queira pode colocar no crontab para executar de tempos em tempos: 


# vim /etc/crontab 
#min hora dia_do_mes més dia_da_semana usuario comando 


00 15 * * * root /usr/sbin/warnquota 


00 15 * * * root /usr/sbin/warnquota 
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Obs.: O Debian já faz a checagem por padrão no crontab: /etc/cron.daily/quota. 
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Trabalhando com Modulos 


10.1 Introdução Teórica 


Quando instalamos um Debian, RedHat, Suse, Slackware, entre outras distribuições, 
estamos utilizando um kernel que foi compilado pelos desenvolvedores da distribui- 
ção. 


O kernel que vem por padrão em uma distribuição, deve ser capaz de rodar em pra- 
ticamente qualquer PC e dar suporte a quaisquer tipos de recursos que o usuário 
pretenda utilizar, o desenvolvedor compila um kernel que fornece todas as funciona- 
lidades básicas e, em separado, compila pedaços de código que dão suporte a funci- 
onalidades mais específicas. Esses pedaços de código são os chamados módulos. 
Dessa forma, quando o sistema é carregado, um kernel básico se coloca na memoria 
e passa a controlar a máquina. Neste ponto são verificadas outras funcionalidades 
que se espera que o kernel dê suporte, como por exemplo utilizar uma partição XFS. 
Neste momento, se o kernel não possuir suporte nativo a esse “file system” ele irá 
verificar se o módulo que dá suporte a ele foi compilado e se está disponível. Se 
esse módulo for encontrado, ele será carregado expandindo as funcionalidades do 
kernel. 
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Em um sistema como esse, haverá diversos módulos carregados e um número maior 
ainda que não estará sendo utilizado, mas disponível. 


Os módulos disponíveis, em geral, encontram-se no diretório “/lib/modules”, podem 
ser visualizados com o comando "modprobe -l"e os módulos que estão carregados 
podem ser visualizados com o comando “Ismod”. 

Ao mesmo tempo que a capacidade de subir módulos é uma vantagem do ponto de 


vista que apenas os módulos realmente necessários serão carregados, há a desvan- 
tagem de fragmentação do kernel na memória. 


10.2 Gerenciando os módulos 


O desenvolvimento de uma nova funcionalidade para o kernel do Linux pode ser 
implementada diretamente no Kernel ou compilada como um módulo. 
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De modo geral, a escolha tende a ser a compilação como módulo. Isso se traduz no 
carregamento dinâmico do código apenas quando esta funcionalidade for necessá- 
ria. Além disso, torna o kernel mais enxuto, leve, e portanto mais eficiente. Diversos 
componentes do kernel do Linux são implementados como módulos, por exemplo, 
filesystems, device drivers, e novas camadas de protocolos de comunicação. 


Em alguns casos, compilar o código juntamente com o kernel pode ser necessário. 
Se um determinado componente precisa alterar alguma estrutura do kernel, ele não 
terá privilégios de fazer isso dinamicamente, ou mesmo que gere sua própria es- 
trutura modificada, o restante do kernel e outros módulos carregados ainda estarão 
enxergando a antiga estrutura. 


Ao executar o comando Ismod você pode ver quais módulos estão carregados atual- 
mente no seu kernel. Abaixo um exemplo da saída deste comando: 


# lsmod 

Module Size Used by Tainted: P 
ppp_generic 24060 0 (autoclean) (unused) 

slhc 6564 0 (autoclean) [ppp generic] 
ircomm-tty 24224 0 (autoclean) (unused) 

ircomm 9736 0 (autoclean) [ircomm-tty] 
irda 112112 0 (autoclean) [ircomm-tty ircomm] 
lp 8096 0 (autoclean) (unused) 

parport 34176 0 (autoclean) [lp] 

printer 8448 0 (unused) 

agpgart 40896 3 (autoclean) 

nvidia 1765632 11 (autoclean) 

1810 audio 26312 0 

soundcore 6276 0 [i810 audio] 

ac97. codec 12488 0 [i810 audio] 

nfsd 74256 8 (autoclean) 


Observe a coluna Used. Ela reflete quantos processos estão fazendo uso do módulo. 
Todo módulo deve implementar um campo na sua estrutura de dados denominado 
usage counter para esta finalidade. Um módulo só pode ser removido da memória 
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se o seu usage counter for zero. 


Os módulos são carregados através do programa insmod e uma estrutura do tipo 
module é alocada quando seu carregamento é solicitado. Esta estrutura contém 
símbolos globais que podem ser vistos pelo kernel e outros módulos, informando os 
pontos de entrada de suas funções, suas variáveis globais, seu usage counter, flags, 
entre outros. 


Algumas vezes, um módulo depende de outro para realizar determinadas operações. 
Outro campo na estrutura module é utilizado para informar as dependências dele. Se 
o módulo B depende de A, este deve ser carregado antes de ser possível carregar B. 
O usage counter de A é incrementado sempre que um módulo que depende dele é 
carregado. Deste modo, não se permite que A seja removido antes de seus depen- 
dentes. 


O kernel provê o comando modprobe para facilitar o gerenciamento de dependên- 
cias. Este comando tenta carregar automaticamente qualquer dependência do mó- 
dulo solicitado. Por exemplo, ao tentar carregar o módulo MS-DOS, o comando mod- 
probe carrega primeiro o módulo fat, seguido por MS-DOS. 


O comando modprobe faz uso de um arquivo chamado modules.dep para determinar 
as dependências de todos os módulos compilados para o kernel corrente. Este ar- 
quivo é gerado pela execução, no start-up da máquina, de outro programa chamado 
depmod. Ele avalia, durante o carregamento inicial do kernel, todos os módulos 
compilados, normalmente armazenados em /lib/modules, e gera o arquivo modu- 
les.dep. 


Para remover um módulo da memória, utiliza-se o comando rmmod. modprobe -r ou 
rmmod -r são usados para remover uma pilha de módulos. 


O usuário, através da configuração de um novo kernel, pode alterar o modo como 
diversos componentes são carregados: compilados junto com o kernel ou como mó- 
dulos. Normalmente é recomendado fazer uso o máximo possível de módulos. En- 
tretanto, em casos em que o componente é permanentemente necessário, pode ser 
mais eficiente compilá-lo junto com o kernel, ganhando em performance. 
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É de suma importância saber a versão do kernel para saber se a versão suporta ou 
não um módulo. 


Determine qual versão do kernel está sendo utilizada: 


# uname -r 


© Dica LPI: O comando que exibe o Kernel em uso, e suas opções é: uname 
-a 


Determine quais módulos estão carregados: 


# lsmod 


# cat /proc/modules 


Para verificar os módulos estão carregados, usamos o comando Ismod. 


Veja que a saída do comando Ismod é em colunas, é listado todos módulos que estão 
carregados em memória, inclusive os que não estão em uso. Onde: 


Module — exibe o nome do módulo 

Size — exibe em bytes, o tamanho da memória do módulo 

Used by — exibe a contagem de quantas instâncias do módulo estão carregadas e o 
módulo que está usando; os valores são importantes porque não podemos remover 
um módulo que esteja sendo usado, a não ser que nesse campo, o valor seja zero. 
Também exibe se o módulo depende de outro para funcionar, mostrando o nome do 


módulo que ele depende. 


Para determinar quais módulos estão compilados (disponíveis): 
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# modprobe -1 


Uma das opções do comando modprobe é listar os módulos disponíveis em /lib/mo- 
dules/. Para isso, basta utilizar a opção -l: 


para determinar o número de módulos carregados e o número de módulos disponi- 
veis: 


# lsmod | grep -v “"Module" | wc -1 
# modprobe -1 | we -1 


Determine para que serve o módulo chamado ext3: 


# modinfo ext3 


O comando modinfo exibe informações sobre um módulo 


Determine quais módulos são utilizados pelo filesystem ext3: 


# lsmod | grep ext3 


Carregue o módulo do filesystem vfat: 


# modprobe vfat 


O comando “modprobe” ou “modprobe -i” é o responsável por carregar um módulo 
e suas dependências. Determine quais são as dependências do módulo vfat: 


Página 8 Linux System Administration 


o NM OO FW N + 


4Linux — www.4linux.com.br 10.2 Gerenciando os módulos 


# modinfo vfat 


Determine quais módulos são utilizados pelo filesystem vfat: 


# lsmod | grep vfat 


Remova o modulo viat: 


# modprobe -r vfat 


O comando modprobe também pode ser utilizado para remover módulos que não 
estejam sendo utilizados por outros módulos. Além dele remover o módulo, ele tam- 
bém remove suas dependências. Para executar essa ação, basta usar a opção -r: 


Outra forma de carregar módulos é através do comando , mas diferente do comando 
modprobe é necessário passar o caminho completo do módulo e também é neces- 
sário carregar suas dependências primeiro. 


Verifique quais são as dependências do módulo vfat: 


# modinfo vfat 


filename: /lib/modules/2.6.32-5-686/kernel/fs/fat/vfat.ko 
author: Gordon Chaffee 

description: VFAT filesystem support 

license: GPL 

srcversion: 13B4B9904275625D3971810 

depends: fat ,nlsbase 

vermagic: 2.6.32-5-686 SMP mod_unload modversions 686 
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Na saída temos duas dependências para o módulo vfat, agora precisamos saber se 
suas dependências não são dependentes de outras dependências: 


# modinfo fat 


filename: /lib/modules/2.6.32-5-686/kernel/fs/fat/fat.ko 
license: GPL 

srcversion: F3CEDF3D6DC8D993978847D 

depends : nls_base 

vermagic: 2.6.32-5-686 SMP mod_unload modversions 686 


Verificado que o módulo fat depende do módulo nis base. Agora verifique se o mó- 
dulo nis base não depende de outro módulo: 


# modinfo nls base 


filename: /lib/modules/2.6.32-5-686/kernel/fs/nls/nls_base.ko 
license: DUAL BSD/GPL 

depends: 

vermagic: 2.6.32-5-686 SMP mod_unload modversions 686 


O módulo nis base não depende de nenhum outro módulo, então agora, carregue 
os módulos na ordem de dependências: 


nis base -> fat -> vfat 


Lembrando que você deve passar o caminho completo do módulo para utilizar o 
comando . 


Para visualizar todos os módulos disponíveis utiliza-se o comando “modprobe” com 
a opção “-|”, mas para visualizar se um módulo específico está disponível utilize seu 


nome como argumento. 


Todos os módulos: 
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# modprobe -1 


Módulo específico: 


# modprobe -1 nls base 
# modprobe -1 fat 
# modprobe -1 vfat 


Então para carregar o módulo nis base fat e vfat faça: 


# insmod /lib/modules/$(uname -r)/$(modprobe -1 nls base) 
# insmod /lib/modules/$(uname -r)/$(modprobe -1 fat) 
# insmod /lib/modules/$(uname -r)/$ (modprobe -1 vfat) 


Veja que todos eles foram carregados com sucesso: 
# lsmod | grep fat 


Outra forma de remover módulos é através do comando rmmod, mas diferente do 
comando “modprobe -r” ele só remove o módulo que não esteja sendo utilizado por 
outro e não remove suas dependências. 

Na saída do comando anterior verifique qual módulo está sendo utilizado por outro: 
vfat -> não tem dependente 


fat -> vfat depende dele 


nis base -> fat depende dele 


Linux System Administration Página 11 


10.2 Gerenciando os módulos 4Linux — www.4linux.com.br 


Logo para removermos temos que seguir a ordem: 
vfat -> fat -> nis base 


Removendo os módulos: 


# rmmod vfat 
# rmmod fat 


# rmmod nls_base 


Veja que todos eles foram descarregados com sucesso: 


# lsmod | grep fat 


Como o “modprobe” sabe quais módulos dependem de quais módulos? 


# cd /lib/modules/$(uname -r) 
# Is -1 


# less modules.dep 


O arquivo modules.dep é o responsável por armazenar os dados de dependências 
de módulos, através dele os comandos modprobe e modinfo, conseguem obter as 
informações necessárias para serem executados, teste arquivo é gerado em todo 
boot. 


Não acredita que o “modprobe” usa esse arquivo? Remova-o e tente carregar o 
módulo vfat: 


# rm /lib/modules/$(uname -r)/modules.dep 
# modprobe vfat 
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Não funcionou? E agora? Construa o arquivo “modules.dep” e tente novamente: 


# depmod 
# ls /lib/modules/$(uname -r)/modules.dep 
# modprobe vfat 


O comando depmod gera o arquivo modules.dep. 


10.2.1 Identificando Dispositivos e seus módulos 


Identifique qual é a placa de rede do seu computador: 


# lspci -nn | grep -i eth 

03:00.0 Ethernet controller [0200]: Realtek Semiconductor Co., Ltd. 
RTL8101E/RTL8102E PCI Express Fast Ethernet controller [10ec 
:8136] (rev 02) 


DICA: Repare no numero 10ec:8136 (PCI iD) este numero é unico para este dispo- 
sitivo e através dele podemos saber qual o nome do seu médulo e qual versao do 
kernel tem suporte a ele. 


& Acesse o site: http://www.kmuto.jp/debian/hcl/ 


Digite o número encontrado: 10ec:8136 e descubra qual o nome do módulo e quais 
versões do kernel têm suporte a este módulo. 


Outra forma de identificar o modulo, de um dispositivo é o "Ispci", com filtro de uma 
palavra chave, continuando o exemplo da placa de rede: 
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# 


lspci | grep -i net 


2 04:00.0 Ethernet controller: Marvell Technology Group Ltd. 88E8057 


1 


PCI-E Gigabit Ethernet Controller (rev 10) 


Repare o numero de id da placa de rede 04:00.0 e descubra qual o nome do módulo 
que a Sua placa de rede necessita: 


# 


lspci -v -s 04:00.0 


2 04:00.0 Ethernet controller: Marvell Technology Group Ltd. 88E8057 


ON DOO BR W 
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PCI-E Gigabit Ethernet Controller (rev 10) 

Subsystem: Sony Corporation Device 907a 

Flags: bus master, fast devsel, latency 0, IRQ 46 
Memory at e6620000 (64-bit, non-prefetchable) [size=16K] 
I/O ports at a000 [size=256] 

Expansion ROM at e6600000 [disabled] [size=128K] 
Capabilities: [48] Power Management version 3 
Capabilities: [5c] MSI: Enable+ Count=1/1 Maskable- 64bit+ 
Capabilities: [c0] Express Legacy Endpoint, MSI 00 
Capabilities: [100] Advanced Error Reporting 

Capabilities: [130] Device Serial Number 6b-3b-74-ff-ff-49-42-54 
Kernel driver in use: sky2 


Kernel modules: sky2 


Outra forma de busca seria buscar informações na internet ou tentar determinar qual 
é o módulo que ela utiliza na raça(tentativa e erro): 


HH + + 


modprobe -1 |grep -i realtek 
modprobe -1 |grep -i real 
modprobe -1l |grep -i tek 
modprobe -1 |grep rtl 


modprobe ...(módulos obtidos nas sáidas) 
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À Não ha uma regra geral para determinar qual é o módulo que fornece su- 
porte a um determinado hardware. A forma mais fácil é utilizar um kernel genérico 
e tentar descobrir qual é o módulo que é utilizado por meio dos comandos “Ismod” 
e “modinfo”, procurar na árvore do kernel, ou procurar nos mecanismos de busca na 
Internet. 


Após descobrir o módulo descarregue-o e veja que a placa rede parou de funcio- 
nar: 


# modprobe -r r8169 


No CentOS ao derrubar o módulo da placa de rede ele recarrega o módulo auto- 
maticamente, isto porque existe o arquivo: “/etc/sysconfig/network-scripts/network- 
functions”, este arquivo mantém funções que controlam muitos scripts de interface e 
funcões que estão em contato com programas em execução que tenham solicitado 
informações sobre mudanças no status de uma interface. 


Caso queira bloquear o carregamento de um módulo na inicialização edite o arquivo 
“/etc/modprobe.d/blacklist.conf” e adicione blacklist [módulo]. 


Bloqueie o módulo da placa de rede de ser carregado na hora do boot: 


# vim /etc/modprobe.d/blacklist.conf 
blacklist r8169 


Reinicie a maquina e veja que o médulo nao é carregado: 


# lsmod | grep r8169 
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Caso precise que um módulo seja carregado automaticamente na hora do boot 
faça: 


Debian: 


1 # vim /etc/modules 


2 |zaurus 


CentOS: 


1 /& vim /etc/rc.modules 
modprobe zaurus 


# chmod +x /etc/rc.modules 


Verifique que o módulo zaurus para “PDA ZAURUS” não está carregado, reinicie a 
máquina e veja que ele será carregado automaticamente, após o boot: 


1 # lsmod | grep zaurus 
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10.3 Introdução Teórica 


O CUPS - Common Unix Printing System é uma das formas mais utilizadas atual- 
mente para trabalhar com impressão no mundo GNU/Linux. Ele utiliza o protocolo 
IPP - Internet Printing Protocol para gerenciar as filas e trabalhos de impressão. Com 
o “IPP” você pode imprimir de qualquer lugar, através da internet para sua impres- 
sora doméstica, por exemplo. Além disso, o “CUPS” fornece uma interface “Web” 
para gerenciamento de quotas de impressão e que oferece suporte à maioria das 
impressoras existentes. 


A melhor documentação a respeito do CUPS pode ser encontrada online no manual 
oficial no projeto, disponível no endereço “http://www.cups.org” 


10.3.1 Instalação Servidor Cups 
Debian: 


# apt-get install cups-bsd 


CentOS: 
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# yum install cups-lpd 


w Agora podemos gerenciar as configurações relacionadas à impressora. Para 
isso utilizaremos a interface de gerenciamento do CUPS via “browser”. Para isso, 
abra seu navegador preferido e digite “http://localhost:631”. 


Antes de continuarmos a instalação do servidor de impressão devemos saber 
se a impressora tem suporte ao linux e qual é o seu driver. 


Para isso identifique o nome e modelo da impressora, no nosso exemplo a impres- 
sora será a “HP Deskjet D1660”. 


@ DICA: Para descobrir o driver da impressora e se ela tem suporte acesse o 
site: http://www.openprinting.org 


Clique em Printers: 
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pages are not only looking nicer and better fitting into the general web site of the Linux Foundation, they give also much 
quicker access by being backed by a relationale database and two mirrored servers and we will not get so many 
unuseful printer entry contributions any more as login with a Linux Foundation account is required for contributors now. 


In addition we have now facilities for driver developers and printer manufacturers to easily contribute driver and printer 
entries via a web interface. 


More info, Start browsing: Printers. Drivers 
Enjoy the new OpenPrinting database web pages! 
For Developers 


The goal of the OpenPrinting workgroup is to develop and promote a set of standards that will address the complete 
printing needs of embedded, mobile, desktop, enterprise, and production environments, including management, 
reliability, security, scalability, printer feature access and network accessibility. This is achieved by 


e creating a Common Printing Dialog for all applications and desktops 





e developing standard APIs for printing 


e collecting information about printers and printer drivers and providing the drivers in distribution-independent 
packages 


e integratina them in existina oneratina svstems 


Selecione o fabricante(Manufacter) e modelo(Model) e depois clique em “Show this 
printer”: 
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= € LinuxFOUNDATION.ORG = Linux.com EVENTS VIDEO MORE w 8 LOGIN [2 REGISTER 
OPEN 
DOM PRINTING LINUX 


Home AboutUs News & Media Programs Collaborate Participate Events Training 





OpenPrinting Database Printers Drivers FAQ Foomatic Articles Projects Documentation Developers 





The Linux Foundation + OpenPrinting * Printers E 


Printer Listings 


Please choose a printer manufacturer to search for. If you know the specific printer model you would like to view, News & Announcements 
select the model number from the list as well. Otherwise, choose the "show all" option and all printers made by the 


selected manufacturer will be listed on your screen. Latest Comments 
Query printer database is | cannot install driver for ir2020 . 
How to do? 
Manufacturer Model http://www.openprinting.org/ printer Canon/Canon- 








HP Deskjet d1660 2] | show Eis printer imageRunner 2020 - 1 day ago 


2 Samsung Galaxy y Great printer. 


List by Manufacturer http:l/www.openprinting.org'printe” Samsung! Samsung- 


--select manufacturer-- | Show All CLP-310 - 1 day ago 


2 Samsung Galaxy y Going to buy this one. 











http://www openprinting.org'printer Samsung! Samsung- 
SCX-4200 : 1 dav aao 





Add a new printer 


Aparecerá o nome da impressora no topo da pagina: 


EE e LinuxFounDATIONORG Linux.com EVENTS VIDEO MORE w & Locin [È REGISTER 


~ JESSE CJ LINUX 


Home AboutUs News & Media Programs Collaborate Participate Events Training 





OpenPrinting Database Printers Drivers FAQ Foomatic Articles Projects Documentation Developers 





The Linux Foundation * OpenPrinting * Printers + HP + D 


HP DeskJet d1660 


News & Announcements 


Black & White inkjet printer, max. 600x600 dpi, works Partially A Latest Comments 

See drivers at the bottom of this page. 

Generic Instructions: CUPS, LPD, LPRng, PPR, PDO, no spooler | laser | cannot install driver for ir2020 . 
How to do? 


http://www.openprinting.org/ printen Canon’ Canon- 
imageRunner 2020 : 1 day ago 





User-contributed Printer Entry 
This printer entry was contributed by a user but was not yet verified or proofread by the site administrators. 








Therefore it is not included in the Foomatic packages. | mes Galaxy y Great printer. 
Discussion Forum http://www.openprinting.org! printer. Samsung’ Samsung- 
Look for help in our forum for printers from HP and Apollo. CLP-310 - 1 day ago 

Comments 


) ns Galaxy y Going to buy this one. 


Lik 1 person liked this. > 
EE P ZE http://www.openprinting.org/ printer! Samsung’ Samsung- 





E no final aparecera o nome do driver, selecione-o: 
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blog comments powered by DISQUS 
Drivers 


The following driver(s) are known to drive this printer: 


hol i p (driver home page) 


HP's driver suite for printers and multi-function devices 


Supplier: Hewlett-Packard (this printer's manufacturer) 
License: MIT/BSD/GPL (free software) 

HPLIP support and bug tracking system (voluntary) 
Max. rendering resolution: 1200x1200dpi Color output Type: CUPS Raster 
Text: UN 200 
INN! 200 Photo: 


User support: 


Graphics: 
Line Art: 


Mim 100 
ANII 100 


System Load: 
Speed: 


Unknown 


70 
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http://www. openprinting.org'printer' Xerox! Xerox- 
WorkCentre PE120 - 1 day ago 


Powered by Disqus 





Selecione novamente o driver: 


= ©: LinuxFOUNDATION.ORG Linux.com EVENTS VIDEO MORE w 


OPEN 
L PRINTING 


Home AboutUs News & Media 


OpenPrinting Database Printers Drivers 


The Linux Foundation * OpenPrinting * Drivers * hplip 


hpli 


HP's driver suite for printers and multi-function devices 
Supplier: Hewlett-Packard (printer manufacturer) 
License: MIT/BSD/GPL (free software) 


User support: 


Programs 


FAQ Foomatic 


HPLIP support and bug tracking system (voluntary) 


Max. rendering resolution: 1200x1200dpi Coloroutput Type: CUPS Raster 


Text: AMINI 100 
ANII 100 Photo: 


Graphics: 
Line Art: 


Comments 


The HP Linux Imaging and Printing (HPLIP) is an HP-developed solution for printing, scanning, and faxing with HP 
inkjet and laser based printers in Linux. The HPLIP project provides printing support for over 1,500 printer models, 
including Deskjet, Officejet, Photosmart, PSC (Print, Scan, Copy), Business Inkjet, (Color) LaserJet, Edgeline 


MFP, and LaserJet MFP. 
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HE 100 
tm 100 


Collaborate 


Articles 


System Load: 
Speed: 


Participate 


Events 


Projects Documentation 


Unknown 


70 


& Login |g REGISTER 


LINUX 


FOUNDATION 


Training 


Developers 





[a] 





News & Announcements 5j 


Latest Comments 


| fere cannot install driver for ir2020 . 
How to do? 
we rinti; print: Il = 


imageRunner 2020 : 1 day ago 


2 Samsung Galaxy y Great printer. 


hep:itwww.openprinting.org'printer Samsung’ Samsung- 


CLP-310 - 1 day ago 





2 Samsung Galaxy y Going to buy this one. 


http://www. openprinting.org'printer' Samsung’ Samsung- 
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Antes de fazer o download, pode-se tentar instalar o driver “hplip” pelo gerenciador 
de pacotes de sua distribuição: 


Debian: 


# apt-get install hplip 


Verifique a versão: 


# dpkg -1 hplip 


CentOS: 


# yum install hplip 


Verifique a versao: 


# rpm -q hplip 


Compare as versões com a do site, talvez sua versão nao tenha suporte para a 


impressora, então faça o download da versão mais atual: 
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Home 


HP Linux Imaging and Printing 


Print, Scan and Fax Drivers for Linux 


Welcome to the home of Hewlett-Packard's Linux Imaging and Printing software (HPLIP). 


Chances are, your Linux system already has the HPLIP software installed. That's because all major Linux distributions regularly pick up the HPLIP software and 
include it with their distribution installation. However, if it is not installed or you need to upgrade to a newer HPLIP version to support your printer, youve come to the 
right place. 


On this website you can download the HPLIP software which supports 2,053 HP printers on nearly any Linux distribution available today. 
You can also find answers to many of your questions within our new knowledge base, or post a question on the Get Help page when you cant find the answer directly. 


For a more detailed overview of HPLIP see the About page or just browse the site and let us know what you think on the Get Help page. 


| à — HPLIP » | More Information » 


The current version of the HPLIP solution is version 3.11.10. (Release Notes) 


Ao clicar em download, aparecerá a tela abaixo, preencha conforme o solicitado: No 
CentOS: 


HP Linux Imaging and Printing 


2rint, Scan and Fax Drivers for Linux 


Installation Wizard 


The following pages will help you download HPLIP. 
First, we will determine if the version of HPLIP included with your operating system will work with your printer and if your printer is supported by HPLIP. 
Please answer the following questions before clicking Next. 


Step 1: Select Distribution: 
Red Hat Enterprise Linux a 








Step 2: Select Version: 

| 6.0 ee K 

Step 3: Select Printer Type: 
Deskjet/Color Inkjet sd 








Step 4: Select Printer Model: 
HP Deskjet d1660 Printer o 


Step 5: Click Next: 


NextR | 








Clique em avançar, verfique que na próxima tela, é apresentado que o pacote forne- 
cido pela distribuição não tem suporte a esta impressora: “Red Hat Enterprise linux 
6.0 supplies HPLIP 1.6.7 and it does not support your printer”. 
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Installation Wizard 


You have selected Red Hat Enterprise Linux 6.0 using the HP Deskjet d1660 Printer. 
Red Hat Enterprise Linux 6.0 supplies HPLIP 1.6.7 and it does not support your printer. 
You must download and install HPLIP in order to use your printer with Red Hat Enterprise Linux 6.0. 


Please click Previous to select a different operating system or printer. 


| « Previous | 


Please click Next to download HPLIP. 


[Nexte | 


Please click Cancel to return to the HPLIP home page. 
| Cancel » | 


Clique em avangar: 


If you do not see your processor architecture below, click Download Installer to download the HPLIP installer. 
| Download Installer » | 








Step 6: Select Processor 
|x86 64 Sl 








Step 7: License Agreement 
Before downloading the HPLIP package, you must read and agree with the terms of the following license agreement. 


<?php 
get license text(); 
?> 








an agree to the terms and conditions of the license agreement. 
| Downlad | 


Please click Restart to select a different operating system or printer. 


[ Restart » | 


Faça o download: 
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Opening hplip-3.11.12 rhel-6.0.x86 64.rpm 


You have chosen to open 


|| hplip-3.11.12 rhel-6.0.x86 64.rpm 


which is a: Pacote RPM 
from: http://hplipopensource.com 


What should Firefox do with this file? 





O Open with | Archive Manager (default) $ | 








@ Save File | 





O Do this automatically for files like this from now on. 


@ cancel | N 
Para instalar: 


# rpm -i hplip-3.11.12_rhel-6.0.x86_64.rpm 


No Debian: 


nome > instanauon wizara 


HP Linux Imaging and Printing 


Print, Scan and Fax Drivers for Linux 


Installation Wizard 


The following pages will help you download HPLIP. 
First, we will determine if the version of HPLIP included with your operating system will work with your printer and if your printer is supported by HPLIP. 
Please answer the following questions before clicking Next. 


Step 1: Select Distribution: 
| Debian c 








Step 2: Select Version: 
| 6.0 a 











[ Deskjet/Color Inkjet cj 





Step 4: Select Printer Model: 
HP Deskjet d1660 Printer ç 





Step 5: Click Next: 


(Next pl) 


Na tela seguinte é alertado que o Debian6 fornece uma versão do driver hplip que não 
suporte a impressora HP. “Debian 6.0 supplies HPLIP 2.8.6 and it does not support 


Linux System Administration Página 25 


10.3 Introdução Teórica 


your printer” 


Clique em avançar: 


nume + upianauun wisa 


HP Linux Imaging and Printing 


Print, Scan and Fax Drivers for Linux 


Installation Wizard 


You have selected Debian 6.0 using the HP Deskjet d1660 Printer. 


Debian 6.0 supplies HPLIP 2.8.6 and it does not support your printer. 


You must download and install HPLIP in order to use your printer with Debian 6.0. 


Please click Previous to select a different operating system or printer. 
| « Previous | 


Please click Next to download HPLIP. 


| Next "A 


Please click Cancel to return to the HPLIP home page. 
| Cancel » | 


Clique em avançar novamente: 


Home > Installation Wizard 


HP Linux Imaging and Printing 


Print, Scan and Fax Drivers for Linux 


Installation Wizard 


To install HPLIP for Debian 6.0 you must use the HPLIP installer. 


To install with the HPLIP installer, click Next to download it and to read the installation instructions. 


4Linux — www.4linux.com.br 


NOTE: In some cases, the manual installation instructions have not been tested or were submitted to HPLIP by end-users. 


Please click Next to download HPLIP. 


| Next PN 


Please click Restart to select a different operating system or printer. 
| Restart » | 


Para finalizar faça o download do driver: 
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Installer Walkthrough 
Step 1: Download the Automatic Installer (.run file) 
Download HPLIP 3.11.10: 


| Download HPLIP » | 


(Download Digital Certificate) What's this? 


Step 2: Run the Automatic Installer 


Running the installer requires that you open a command shell to enter commands. To do this, 
open a terminal or console window (how do | open a terminal?). 


In the terminal/console, enter the following commands (type all the text after the $ character and 
then press enter): 


Execute o arquivo baixado: 


# bash hplip-3.11.10.run 

Creating directory hplip-3.11.10 

Verifying archive integrity... All good. 
Uncompressing HPLIP 3.11.10 Self Extracting Archive 


warning: hplip-install should not be run as root. 
HP Linux Imaging and Printing System (ver. 3.11.10) 
HPLIP Installer ver. 5.1 


Copyright (c) 2001-9 Hewlett-Packard Development Company, LP 
This software comes with ABSOLUTELY NO WARRANTY. 
This is free software, and you are welcome to distribute it 


under certain conditions. See COPYING file for more details. 


Installer log saved in: hplip-install_Mon-21-Nov-2011_17:18:45. log 


/error: You are running the installer as root. It is highly 
recommended that you run the installer as 
error: a regular (non-root) user. Do you still wish to continue? 
Continue instalando: 
Continue with 


installation (y=yes, n=nox, q=quit) ? y 


note: Defaults for each question are maked with a 'x'. Press <enter> 


to accept the default. 
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INSTALLATION MODE 

Automatic mode will install the full HPLIP solution with the most 
common options. 

Custom mode allows you to choose installation options to fit 
specific requirements. 

Qual o tipo de instalação: automática 

Please choose the installation mode (a=automaticx, c=custom, q=quit) 

a 


Initializing. Please wait... 


INTRODUCTION 
This installer will install HPLIP version 3.11.10 on your computer. 
Please close any running package management systems now (YaST, Adept 


, Synaptic, Up2date, etc). 


DISTRO/OS CONFIRMATION 

Distro appears to be Debian 6.0.3. 

DICA: Quando perguntar qual a versdo da sua distro no cado do Debian, 

diga que não está correto e selecione manualmente a versão 6.0, 

o pacote não é atualizado constantemente quanto a distribuição e 
por isso, falhará a instalação postriormente se não escolher 
manualmente. 

Is "Debian 6.0.3" your correct distro/OS and version (y=yesx, n=no, 


q=quit) ? n 


DISTRO/OS SELECTION 


Choose the name of the distro/OS that most closely matches your 


system: 
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Num. Distro/OS Name 


0 Mepis 
1 Debia 


Fedor 


Ubunt 


o AON D oO A WN 


10 gOS 


n 


a 


u 


SUSE Linux 


Mandriva Linux 


Red Hat 


Red Hat Enterprise Linux 


PCLinuxOS 


Linux Mint 


11 Linpus Linux 


12 IGOS 
13 Boss 


14 Linux From Scratch 


Escolha Debian: 1 


Enter number 0...14 (q=quit) ? 1 


Choose the version of 


Num. Distro/OS Version 


0 uU 

1 5.0 
205710 
3050 
4a 070 
B= SEA 
67 SO 
Uo yale 
8 5.0 
SNS 0 
10 6.0 
11 6.0 


( 


il 


2 
B 
4 
5 
6 
7 
8 
( 
1 


nknown or not listed 


“Lenny "> 
("Lenny") 
("Lenny") 
("Lenny") 
("Lenny") 
("Lenny") 
("Lenny") 
("Lenny") 
("Lenny") 

"Squeeze" ) 


("Squeeze") 
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107 


108 


109 


110 


111 
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12 6.0.2 ("Squeeze") 
Escolha a versão mais próxima a sua distro: 


Enter number 0...12 (q=quit) ? 12 


Distro set to: Debian 6.0.2 


INSTALLATION NOTES 
NOTE: Disable the CD Sources in your apt sources.list or the install 


will fail and hang. 


J , 


Please read the installation notes. Press <enter> to continue or ’q 


to quit: 


RUNNING PRE-INSTALL COMMANDS 


INSTALL MISSING REQUIRED DEPENDENCIES 

warning: There are 8 missing REQUIRED dependencies. 

note: Installation of dependencies requires an active internet 
connection. 

warning: Missing REQUIRED dependency: gcc (gcc - GNU Project C and C 
++ Compiler) 

warning: Missing REQUIRED dependency: make (make - GNU make utility 
to maintain groups of programs) 

warning: Missing REQUIRED dependency: python-devel (Python devel - 
Python development files) 

warning: Missing REQUIRED dependency: cups-devel (CUPS devel- Common 
Unix Printing System development files) 

warning: Missing REQUIRED dependency: libusb (libusb - USB library) 

warning: Missing REQUIRED dependency: libtool (libtool - Library 


building support services) 
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warning: Missing REQUIRED dependency: cups-image (CUPS image - CUPS 
image development files) 

warning: Missing REQUIRED dependency: libjpeg (libjpeg - JPEG 
library) 


INSTALL MISSING OPTIONAL DEPENDENCIES 

warning: There are 10 missing OPTIONAL dependencies. 

note: Installation of dependencies requires an active internet 
connection. 

warning: Missing REQUIRED dependency for option ’network’: libcrypto 

(libcrypto - OpenSSL cryptographic library) 

warning: Missing REQUIRED dependency for option ’network’: 
libnetsnmp-devel (libnetsnmp-devel - SNMP networking library 
development files) 

warning: Missing REQUIRED dependency for option ’gui_qt4’: pyqt4- 
dbus (PyQt 4 DBus - DBus Support for PyQt4) 

warning: Missing REQUIRED dependency for option ’gui_qt4’: pyqt4 ( 
PyQt 4- Qt interface for Python (for Qt version 4.x)) 

warning: Missing OPTIONAL dependency for option ’fax’: reportlab ( 
Reportlab - PDF library for Python) 

warning: Missing REQUIRED dependency for option ’fax’: dbus (DBus - 
Message bus system) 

warning: Missing REQUIRED dependency for option ’scan’: sane-devel ( 
SANE - Scanning library development files) 

warning: Missing OPTIONAL dependency for option ’scan’: pil (PIL - 
Python Imaging Library (required for commandline scanning with hp 
-scan)) 

warning: Missing OPTIONAL dependency for option ’scan’: xsane (xsane 
- Graphical scanner frontend for SANE) 

warning: Missing OPTIONAL dependency for option ’base’: cups-ddk ( 
CUPS DDK - CUPS driver development kit) 

warning: This installer cannot install ’cups-ddk’ for your distro/0S 


and/or version. 
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CHECKING FOR NETWORK CONNECTION 


Network connection present. 


RUNNING PRE- 


PACKAGE COMMANDS 


su -c "dpkg --configure -a” (Pre-depend step 1) 

su -c "apt-get install -f” (Pre-depend step 2) 

su -c "apt-get update” (Pre-depend step 3) 

warning: An error occurred running ’su -c "apt-get install --yes 
cupsys-bsd”’ 

su -c "apt-get install --yes cupsys-bsd" (Pre-depend step 4) 

OK 


DEPENDENCY AND CONFLICT RESOLUTION 


Running ’su -c "apt-get install --force-yes -y g++"? 

Please wait, this may take several minutes... 

Running ’su -c "apt-get install --force-yes -y make"? 

Please wait, this may take several minutes... 

Running ’su -c "apt-get install --force-yes -y python-dev”’ 
Please wait, this may take several minutes... 

Running ’su -c “apt-get install --force-yes -y libcups2-dev"”’ 
Please wait, this may take several minutes... 

Running ’su -c "apt-get install --force-yes -y cups-bsd”’ 
Please wait, this may take several minutes... 

Running ’su -c "apt-get install --force-yes -y cups-client”’ 
Please wait, this may take several minutes... 

Running ’su -c "apt-get install --force-yes -y libusb-dev”’ 
Please wait, this may take several minutes... 

Running ’su -c "apt-get install --force-yes -y libtool”’ 
Please wait, this may take several minutes... 

Running ’su -c "apt-get install --force-yes -y libcupsimage2”’ 
Please wait, this may take several minutes... 

Running ’su -c "apt-get install --force-yes -y libcupsimage2-dev”’ 
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Please wait, 


, 


Running ’ su 


Please wait, 


, 


Running ’ su 


Please wait, 


, 


Running ’ su 


Please wait, 


bs 


Running ’ su 


Please wait, 


, 


Running ’ su 


Please wait, 


, 


Running ’su 


Please wait, 


’ 


Running ’su 


Please wait, 


, 


Running ’ su 


Please wait, 


, 


Running ’ su 


Please wait, 


, 


Running ’ su 


Please wait, 


RUNNING POST 


RE -CHECKING 


this may take several minutes.. 


-c "apt-get install --force-yes 


Tal 


this may take several minutes... 


-c "apt-get install --force-yes 


FY 


this may take several minutes... 


-c "apt-get install --force-yes 


ay. 


this may take several minutes... 


-c "apt-get install --force-yes 


ay. 


this may take several minutes... 


-c "apt-get install --force-yes 


=y 


this may take several minutes... 


-c "apt-get install --force-yes 


ay. 


this may take several minutes... 


-c "apt-get install --force-yes 


vy 


this may take several minutes... 


-c "apt-get install --force-yes 


ZY 


this may take several minutes... 


-c "apt-get install --force-yes 


DY 


this may take several minutes... 


-c "apt-get install --force-yes 


this may take several minutes.. 


-PACKAGE COMMANDS 


DEPENDENCIES 


zy 
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libjpeg62-dev”’ 


libssl-dev”’ 


libsnmp -dev”’ 


python-qt4-dbus”’ 


python-qt4"’ 


python-reportlab”’ 


libdbus -1-dev”’ 


libsane-dev"” 


python-imaging”’ 


xsane”’ 


warning: An optional dependency ’pil (PIL - Python Imaging Library ( 
required for commandline scanning with hp-scan))’ is still 
missing. 

warning: Some features may not function as expected. 

PRE-BUILD COMMANDS 
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OK 


BUILD AND INSTALL 
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Running ’./configure --with-hpppddir=/usr/share/ppd/HP --libdir=/usr 


/1ib64 --prefix=/usr --enable-qt4 --enable-doc-build --disable- 


cups-ppd-install --disable-foomatic-drv-install --disable- 


foomatic-ppd-install --disable-hpijs-install 


--disable-policykit 


--enable-cups-drv-install --enable-hpcups-install --enable- 
network-build --enable-dbus-build --enable-scan-build --enable- 
fax-build” 


Please wait, this may take several minutes... 


Command completed successfully. 


Running 'make clean” 
Please wait, this may take several minutes... 


Command completed successfully. 


Running 'make” 
Please wait, this may take several minutes... 


Command completed successfully. 
Running 'make install” 


Please wait, this may take several minutes... 


Command completed successfully. 


Build complete. 


POST -BUILD COMMANDS 


/usr/sbin/usermod -a -G lp,lpadmin root (Post-build step 1) 


RESTART OR RE-PLUG IS REQUIRED 
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If you are installing a USB connected printer, and the printer was 
plugged in 

when you started this installer, you will need to either restart 
your PC or 

unplug and re-plug in your printer (USB cable only). If you choose 
to restart, 

run this command after restarting: hp-setup (Note: If you are using 
a parallel 

connection, you will have to restart your PC. If you are using 
network /wireless, 

you can ignore and continue). 

Restart or re-plug in your printer (r=restart, p=re-plug inx, i= 
ignore/continue, q=quit) 

Please unplug and re-plugin your printer now. Press <enter> to 


q 


, , 


continue or to quit: <enter> 


Com a inmpressora ligada e conectada ao servidor: execute o comando instalado 
pelo pacote: 


# hp-setup 


Escolha o tipo de conexão da impressora e avance: 
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hp HP Device Manager - Setup (como super-usuário) x 


Device Discovery 


Connection (1/0) Type 
© [Universal Serial Bus (USB) 











© Network/Ethernet/Wireless network (direct connection or JetDirect) 
© Wireless/802.11 (requires a temporary USB connection and is only available for select devices) 


O Parallel Port (LPT) 


D Show Advanced Options 











Step 1 of 3 < Back | | ia } | Cancel 


O dispositivo sera reconhecido: 


hp HP Device Manager - Setup (como super-usuário) x 


Select From Discovered Devices 





Model v Device URI 


nH) HP Deskjet d1600 Series hp:/usb/Deskjet_D1600_series?serial=BRO56G1D4405CT 











© 1 device found. Click Next to continue. 








Adicione a impressora: 
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HP Device Manager - Setup (como super-usuário) 


Setup Device 


Printer Setup 





Printer name: [Deskjet D 1600 2 








Description: | 








Location: | 








PPD file: | drviji/hpijs .drv/hp-deskjet_d 1600_series-hpijs.ppd | | 


T) 





Fax name: 
Fax number: Name/company: 
Description: 


Location: 


CO Send test page to printer 


Step 3 of 3 <Back || Add pgss | Cancel 








Pode-se adicionar a impressora diretamente pela sua interface gráfica caso o driver 
já esteja instalado: 


@ Acesse: http://localhost:631 


Preencha o nome da impressora, os demais campos não são obrigatórios, este será 
o nome que aparecerá na rede: 
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+ Add Printer 


SEEGER Administration Documentation/Help À _ jobs E Printers | 


Add New Printer 





Name: |server-printer | 
(May contain any printable characters except "/", "#", and space) 
Location: |sala de reuniao | 
(Human-readable location such as "Lab 1") 
Description: [imprime colorido | 
(Human-readable description such as "HP Laserjet with Duplexer") 


CRD 











The Common UNIX Printing System, CUPS, and the CUPS logo are trademarks of Apple Inc. CUPS is copyright 2007-2008 Apple Inc. All rights 
reserved, 


Caso sua impressora ja esteja conectada ao servidor e ligada, ela sera detec- 
tada automaticamente, escolha a forma com que ela esta conectada correta- 
mente, caso ela nao tenha sido reconhecida. 


N Add Printer 
PRINTING 
SYSTEM 
Gli Administration Classes Documentation/Help M Jobs À Printers 


Device for server-printer 





Device: | HP Deskjet D1600 series USB BR056G1D4405CT HPLIP (HP Deskjet D1600 series) | > 





The Common UNIX Printing System, CUPS, and the CUPS logo are trademarks of Apple Inc. CUPS is copyright 2007-2008 Apple Inc. All rights 
reserved, 


Escolha o driver para o tipo da sua impressora: 
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HP Deskjet d1500 seri 
ATEN ert 


FHP Des 6 eries 
HP Deskjet d2300 Series (en) 
HP Deskjet d2300 series Foomatic/hpijs (en) 


DO Ye) 


Add Printe: 
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Digite a senha do administrador para adicionar a impressora, todos que pertençam 


ao grupo Ipadmin são administradores do cups. 


iu Authentication Required x 


says: "CUPS" 


Password: l ecccece| 


Q Cancel Po 


À A username and password are being requested by http://localhost:631. The site 








Imprima uma pagina teste: 
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10.4 Compartilhando a impressora 


Na aba Administration do lado direito, habilite: 


- Visualizar impressoras compartilhadas por outros sistemas 


- Compartilhar impressoras conectadas a este servidor 


- Habilitar administração remota 


Página 40 Linux System Administration 


4Linux — www.4linux.com.br 10.5 Configuração do Cliente 


Add Printer Find New Printers 








Tudo o que pode ser feito no gerenciador grafico, pode ser feito no arquivo de confi- 
guraçäo do servidor cups: 








# cat /etc/cups/cupsd. conf 





10.5 Configuracao do Cliente 


O arquivo para configuraçäo do client é o client.conf que por padrao nao existe ou 
esta vazio: 








# vim /etc/cups/client. conf 





Esse arquivo deve conter o endereço IP do Servidor de Impressão na rede: 


ServerName 192.168.200.254 
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Reinicie 0 serviço do cups: 
# /etc/init.d/cups restart 


Definimos nossa impressora conectada através da porta “USB”, mas e se fosse uma 
impressora da rede, ou Paralela? Podemos conferir como ela seria referenciada 
usando o comando abaixo: 


# lpinfo -v 


© Dica LPI: Se vocé tivesse um impressora em na segunda porta paralela, esta 
seria referenciada como “/dev/Ip1”. 


Podemos agora fazer um teste de impressao com o comando “lp”: 


# lp -dnome da impressora /etc/shadow 


© Dica LPI: a opçäo -d"recebe o nome da minha impressora /etc/shadow é o 
arquivo que sera impresso 


Verifique agora a fila de impressao atual: 


# lpstat -t 
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ou 
1 # lpq -Pnome_da_empresa 


Para remover o trabalho da fila de impressäo por modo texto execute: 


1 # lprm -Pnome_da_impressora nümero_do_job 
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Redes avançado 


11.1 Introdução Teórica 


11.1.1 IPV4 


No IPV4, os endereço IP são compostos por 4 blocos de 8 bits (32 bits no total), 
que são representados através de números de 0 a 255, como "200.156.23.43"ou 
"64.245.32.11". 


As faixas de endereços começadas com "10", com "192.168" ou com de "172.16" 
até "172.31" sao reservadas para uso em redes locais e por isso nao sao usados 
na internet. Os roteadores que compôe a grande rede sao configurados para ignorar 
estes pacotes, de forma que as inumeras redes locais que utilizam endereços na 
faixa "192.168.0.x"(por exemplo) podem conviver pacificamente. 


Embora aparentem ser uma coisa só, os endereços IP incluem duas informações. 
O endereço da rede e o endereço do host dentro dela. Em uma rede domés- 
tica, por exemplo, você poderia utilizar os endereços "192.168.1.1", "192.168.1.2"e 
"192.168.1.3", onde o "192.168.1."é o endereço da rede (e por isso não muda) e o 
último número (1, 2 e 3) identifica os três micros que fazem parte dela. 


Os micros da rede local podem acessar a internet através de um roteador, que pode 
ser tanto um servidor com duas placas de rede, quando um modem ADSL ou outro 
dispositivo que ofereça a opção de compartilhar a conexão. Neste caso, o roteador 
passa a ser o gateway da rede e utiliza seu endereço IP válido para encaminhar as 
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requisições feitas pelos micros da rede interna. Este recurso é chamado de NAT 
(Network Address Translation). 


Endereços de 32 bits permitem cerca de 4 bilhões de endereços diferentes, quase 
o suficiente para dar um endereço IP exclusivo para cada habitante do planeta. Os 
endereços são divididos em: 





Valor do primeiro octeto Especificação dos octetos 


Classe 
eC O até 127 rede.HOST.HOST.HOST 
| 128 até 191 rede.rede.HOST.HOST 
E 


192 até 223 rede.rede.rede.HOST 


240 até 255 - 








O grande problema é que os endereços sao sempre divididos em duas partes, rede 
e host. Nos endereços de classe A, o primeiro octeto se refere a rede e os trés octe- 
tos seguintes referem-se ao host. Temos apenas 126 faixas de endereços classe A 
disponíveis no mundo, dadas a governos, instituições e até mesmo algumas empre- 
sas privadas, como por exemplo a IBM. As faixas de endereços classe À consomem 
cerca de metade dos endereços IP disponíveis, representando um gigantesco des- 
perdício, já que nenhuma das faixas é completamente utilizada. Será que a IBM 
utiliza todos os 16 milhões de endereços IP a que tem direito? Certamente não. 


Mesmo nos endereços classe B (dois octetos para a rede, dois para o host, garan- 
tindo 65 mil endereços) e nos classe C (três octetos para a rede e um para o host, 
ou seja, apenas 256 endereços) o desperdício é muito grande. Muitas empresas 
alugam faixas de endereços classe C para utilizar apenas dois ou três endereços por 
exemplo. 


Para piorar, parte dos endereços estão reservados para as classes D e E, que jamais 
foram implementadas. Isto faz com que já haja uma grande falta de endereços, 
principalmente os de classe A e B, que já estão todos ocupados. 
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11.2 Mascara de rede 


A mascara de rede, juntamente com o endereço IP, define a rede o computador per- 
tence, isto é, que outros enderecos IP que o computador pode comunicar diretamente 
na mesma LAN. 


A fim de compreender a mascara lembre-se sempre que os 4 bytes que define tanto o 
endereço IP e a mascara de rede poderiam ser representados em formato binário. 


A mascara de rede é, por definição, uma sequência de "1"a partir da esquerda para 
a direita, seguido por um certo número de "O"(a faixa de rede). Devido a esta regra 
a máscara de rede é muitas vezes representada com valores decimais, que soam 
como um ou mais "255", seguido por um ou mais "0". 


Utilizando máscaras de sub-rede padrão para cada classe de endereços, onde são 
utilizados oito, dezesseis ou vinte e quatro bits para a máscara de rede, conforme 
descrito a seguir: 


Classes [Mascara padrio | _ 


“apa. |255000 


ER 255.255.0.0 

B=16bits rede.rede.host.host Do 
as 255.255.255.0 

C=24bits rede rede.rede.host 





Por isso que existe uma outra notaçäo conhecida como CIDR (Classless Inter-Domain 
Routing), onde a mascara de sub-rede é indicada simplesmente pelo numero de bits 
utilizados na mascara de sub-rede, conforme exemplos a seguir: 
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Definição da rede 


92.168.0.0.0/8 | 255.255.255.0 





Porém com este esquema de endereçamento, baseado apenas nas mascaras de 
rede padrao para cada classe (oito, dezesseis ou vinte e quatro bits), haveria um 
grande desperdicio de numeros IP. Por exemplo, que empresa no mundo precisa- 
ria da faixa completa de uma rede classe A, na qual estao disponiveis mais de 16 
milhôes de enderecos IP? 


Analise o outro extremo desta questao. Imagine, por exemplo, uma empresa de 
porte médio, que tem a matriz em Sao Paulo e mais cinco filiais em outras cidades 
do Brasil. Agora imagine que em nenhuma das localidades, a rede tem mais do 
que 30 computadores. Se for usado as mascaras de sub-rede padrao, teria que ser 
definida uma rede Classe C (até 254 computadores), para cada localidade. Observe 
que estamos reservando 254 numeros IP para cada localidade (uma rede classe C 
com mascara 255.255.255.0), quando na verdade, no maximo, 30 números serão 
utilizados em cada localidade. Na prática, um belo desperdício de endereços IP, 
mesmo em um empresa de porte médio ou pequeno. 


Observe que neste exemplo, uma única rede Classe C seria suficiente. Já que são 
seis localidades (a matriz mais seis filiais), com um máximo de 30 endereços por 
localidade, um total de 254 endereços de uma rede Classe C seria mais do que 
suficiente. Ainda haveria desperdício, mas agora bem menor. 


A boa notícia é que é possível “dividir” uma rede (qualquer rede) em sub-redes, onde 
cada sub-rede fica apenas com uma faixa de números IP de toda a faixa original. 
Por exemplo, a rede Classe C 200.100.100.0/255.255.255.0, com 256 números IPs 
disponíveis (na prática são 254 números que podem ser utilizados, descontando o 
primeiro que é o número da própria rede e o último que o endereço de broadcast, 
poderia ser dividida em 8 sub-redes, com 32 números IP em cada sub-rede. O 
esquema a seguir ilustra este conceito: 
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Rede original: 256 endereços IP disponíveis: 200.100.100.0 -> 200.100.100.255 Di- 
visão da rede em 8 sub-redes, onde cada sub-rede fica com 32 endereços IP: 


Sub-rede 01: 200.100.100.0 -> 200.100.100.31 

Sub-rede 02: 200.100.100.32 -> 200.100.100.63 

Sub-rede 03: 200.100.100.64 -> 200.100.100.95 

Sub-rede 04: 200.100.100.96 -> 200.100.100.127 

Sub-rede 05: 200.100.100.128 -> 200.100.100.159 

Sub-rede 06: 200.100.100.160 -> 200.100.100.191 

Sub-rede 07: 200.100.100.192 -> 200.100.100.223 

Sub-rede 08: 200.100.100.224 -> 200.100.100.255 

Para o exemplo da empresa com seis localidades (matriz mais cinco filiais), onde, 
no maximo, são necessários trinta endereços IP por localidade, a utilização de uma 
única rede classe C, dividida em 8 sub-redes seria a solução ideal. Na prática a 
primeira e a última sub-rede são descartadas, pois o primeiro IP da primeira sub- 
rede representa o endereço de rede e o último IP da última sub-rede representa o 
endereço de broadcast. Com isso restariam, ainda, seis sub-redes. Exatamente a 
quantia necessária para o exemplo proposto. Observe que ao invés de seis redes 
classe C, bastou uma única rede Classe C, subdividida em seis sub-redes. Uma bela 
economia de endereços. Claro que se um dos escritórios, ou a matriz, precisasse de 


mais de 32 endereços IP, um esquema diferente de divisão teria que ser criado. 


Entendido o conceito teórico de divisão em sub-redes, resta o trabalho prático, ou 
seja: 


* O que tem que ser alterado para fazer a divisão em sub-redes? 
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* Como calcular o número de sub-redes e o número de números IP dentro de 
cada sub-rede? 


* Como listar as faixas de endereços dentro de cada sub-rede? 


Observe o que tem que ser alterado para fazer a divisão de uma rede padrão (com 
máscara de 8, 16 ou 24 bits) em uma ou mais sub-redes. Em seguida, veja alguns 
exemplos de divisão de uma rede em sub-redes. Mãos a obra. 


11.2.1 Alterando o número de bits da máscara de sub-rede 


Por padrão são utilizadas máscaras de sub-rede de 8, 16 ou 24 bits, conforme indi- 
cado no esquema a seguir: 


oo fosso | 


255.255.255.0 





Uma mascara de 8 bits significa que todos os bits do primeiro octeto sao iguais a 1; 
uma mascara de 16 bits significa que todos os bits do primeiro e do segundo octeto 
sao iguais a 1 e uma mascara de 24 bits significa que todos os bits dos trés primeiros 
octetos sao iguais a 1. Este conceito esta ilustrado na tabela a seguir: 


Mascara 


| Nüm. bits | Octeto 01 | Octeto 02 | Octeto 03 | Octeto 04 | 


















8 11111111 00000000 00000000 00000000 | 255.0.0.0 
00000000 | 255.255.0.0 





6 11111111 11111111 00000000 


11111111 11111111 11111111 00000000 | 255.255.255.0 


Mascaras de rede com 8, 16 e 24 bits 


No exemplo da rede com matriz em Sao Paulo e mais cinco escritórios, vamos utilizar 
uma rede classe C, que será subdividida em seis sub-redes (na prática 8, mas a 
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primeira e a ultima nao sao utilizadas). Para fazer esta subdivisao, vocé deve alterar 
o número de bits iguais a 1 na mascara de sub-rede. Por exemplo, ao invés de 24 bits, 
vocé tera que utilizar 25, 26, 27 ou um numero a ser definido. Bem, ja avançamos 
mais um pouco: 


“Para fazer a divisao de uma rede em sub-redes, é preciso aumentar o numero 
de bits iguais a 1, alterando com isso a mascara de sub-rede.” 


Quantos bits devem ser utilizados para a mascara de sub-rede? 


Agora, naturalmente, surge uma nova questao: "Quantos bits?". Ou de uma outra 
maneira (ja procurando induzir o seu raciocinio): "O que define o numero de bits a 
ser utilizados a mais?" 


Bem, esta é uma questão bem mais simples do que pode parecer. Vamos a ela. No 
exemplo proposto, precisamos dividir a rede em seis sub-redes. Ou seja, o número 
de sub-redes deve ser, pelo menos, seis. Sempre lembrando que a primeira e a 
última sub-rede não são utilizadas. O número de sub-redes é proporcional ao número 
de bits que vamos adicionar à máscara de sub-rede já existente. O número de rede 
é dado pela fórmula a seguir, onde ‘n’ é o número de bits a mais a serem utilizados 
para a máscara de sub-rede: 


1. Núm. de sub-redes = 2n-2 


No nosso exemplo estão disponíveis até 8 bits do último octeto para serem também 
utilizados na máscara de sub-rede. Claro que na prática não podemos usar os 8 bits, 
senão ficaríamos com o endereço de broadcast: 255.255.255.255, como máscara de 
sub-rede. Além disso, quanto mais bits pegar para a máscara de sub-rede, menos 
sobrarão para os números IP da rede. Por exemplo, se adicionar mais um bit a 
máscara já existente, ficarei com 25 bits para a máscara e 7 para números IP, se 
adicionar mais dois bits à máscara original de 24 bits, ficarei com 26 bits para a 
máscara e somente 6 para números IP e assim por diante. O número de bits que 
restam para os números IP, definem quantos números IP podem haver em cada 
sub-rede. A fórmula para determinar o número de endereços IP dentro de cada sub- 
rede, é indicado a seguir, onde ‘n’ é o númeo de bits destinados a parte de host do 
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endereço (32 - bits usados para a máscara): 
2. Num. de end. IP dentro de cada sub-rede = 2n-2 


Na tabela a seguir, veja os cálculos para a divisão de sub-redes que será feita no 
exemplo. Observe que quanto mais bits é adicionado à máscara de sub-rede, mais 
sub-redes é possível obter, porém com um menor número de máquinas em cada 
sub-rede. Lembrando que no exemplo estamos subdividindo uma rede classe C - 
200.100.100.0/255.255.255.0, ou seja, uma rede com 24 bits para a máscara de 
sub-rede original. 











Número de bits a mais a Número de sub- Número de hosts em 
serem utilizados redes cada sub-rede 
máscara original, 
0 rede classe C sem 254 
divisäo 
1 0 126 
2 2 62 
3 6 30 
4 i4 14 
5 30 6 
6 62 2 
7 126 0 
d endereço de 
a broadcast 





Número de redes e número de hosts em cada rede. 


Claro que algumas situações não se aplicam na prática. Por exemplo, usando ape- 
nas um bit a mais para a máscara de sub-rede, isto é, 25 bits ao invés de 24. Neste 
caso teremos 0 sub-redes disponíveis. Pois com 1 bit é possível criar apenas duas 
sub-redes, como a primeira e a última são descartadas, conforme descrito anterior- 
mente, na prática as duas sub-redes geradas não poderão ser utilizadas. A mesma 
situação ocorre com o uso de 7 bits a mais para a máscara de sub-rede, ou seja, 
31 ao invés de 24. Nesta situação sobra apenas um bit para os endereços IP. 
Com 1 bit posso ter apenas dois endereços IP, descontanto o primeiro e o último 
que não são utilizados, não sobra nenhum endereço IP As situações intermediá- 
rias é que são mais realistas. No nosso exemplo, precisamos dividir a rede Classe 
C - 200.100.100.0/255.255.255.0, em seis sub-redes. De acordo com a tabela da 
Figura anterior, precisamos utilizar 3 bits a mais para obter as seis sub-redes dese- 
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jadas. 


Observe que utilizando trés bits a mais, ao invés de 24 bits (mascara original), vamos 
utilizar 27 bits para a mascara de sub-rede. Com isso sobram cinco bits para os 
numeros IPs dentro de cada sub-rede, o que da um total de 30 numeros IP por sub- 
rede. Exatamente o que precisamos. 


A próxima questão que pode surgir é como é que fica a máscara de sub-rede, agora 
que ao invés de 24 bits, estou utilizando 27 bits, conforme ilustrado na tabela a 
seguir: 





Num, bits | Octeto O1 | Octeto 02 | Octeto 03 | Octeto 04 


| 27 | 11111111 | 11111111 | 11111111 | 71100000 


Figura - Mascara de sub-rede com 27 bits. 


Para determinar a nova mascara temos que revisar o valor de cada bit. Da esquerda 
para a direita, cada bit representa o seguinte valor, respectivamente: 


128 64 32 168421 


Como os trés primeiros bits do ultimo octeto foram também utilizados para a mascara, 
estes três bits somam para o valor do último octeto. No nosso exemplo, o último 
octeto da máscara terá o seguinte valor: 128+64+32 = 224. Com isso a nova máscara 
de sub-rede, máscara esta que será utilizada pelas seis sub-redes, é a seguinte: 
255.255.255.224. Observe que ao adicionar bits à máscara de sub-rede, fazemos 
isso a partir do bit de maior valor, ou seja, o bit mais da esquerda, com o valor de 
128, depois usamos o próximo bit com valor 64 e assim por diante. Na tabela a 
seguir, apresento a ilustração de como fica a nova máscara de sub-rede: 





Num. bits | Octeto 01 | Octeto 02 | Octeto 03 | Octeto 04 Nova Máscara 


[o 27 |41114111 | 11111111 | 11111111 | 11100000 ESEESE. 





Figura - Como fica a nova mascara de sub-rede. 


Com o uso de trés bits adicionais para a mascara de rede, teremos seis sub-redes 
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disponíveis (uma para cada escritório) com um numero maximo de 30 números IP 
por sub-rede. Exatamente o que precisamos para o exemplo proposto.A idéia básica 
de subnet é bastante simples. Utiliza-se bits adicionais para a máscara de sub- 
rede. Com isso se tem uma divisão da rede original (classe A, classe B ou classe 
C) em várias sub-redes, sendo que o número de endereços IP em cada sub-rede é 
reduzido (por termos utilizados bits adicionais para a máscara de sub-rede, bits estes 
que originalmente eram destinados aos endereços IP). Esta divisão pode ser feita em 
redes de qualquer uma das classes padrão A, B ou C. Por exemplo, por padrão, na 
Classe A são utilizados 8 bits para a máscara de sub-rede e 24 bits para hosts. Você 
pode utilizar, por exemplo, 12 bits para a máscara de sub-rede, restando com isso 20 
bits para endereços de host. 


Na tabela a seguir, é apresentado os cálculos para o número de sub-redes e o nú- 
mero de hosts dentro de cada sub-rede, apenas para os casos que podem ser utiliza- 
dos na prática, ou seja, duas ou mais sub-redes e dois ou mais endereços válidos em 
cada sub-rede, quando for feita a sub-divisão de uma rede Classe C, com máscara 
original igual a 255.255.255.0.. 





Número de bits a mais a Número de sub- | Número de hosts em 











serem utilizados redes cada sub-rede 
> 2 
3 30 
4 14 
5 6 
6 62 2 


Numero de redes e numero de hosts em cada rede - divsao de uma rede Classe 
C. 


Lembrando que a fórmula para calcular o número de sub-redes é: 


Núm. de sub-redes = 2n-2 


onde n é o número de bits a mais utilizados para a máscara de sub-rede E a fórmula 
para calcular o número de endereços IP dentro de cada sub-rede é: 


Núm de IPs por subrede = 2n-2 
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onde n é o numero de bits restantes, isto é, não utilizados pela mascara de sub- 
rede. 


Até aqui foram vistos ememplos da rede Classe C, que está sendo subdividida em 
várias sub-redes. Porém é também possível subdividir redes Classe A e redes Classe 
B. Lembrando que redes classe A utilizam, por padrão, apenas 8 bits para o endereço 
de rede, já redes classe B, utilizam, por padrão, 16 bits. Na tabela a seguir, apresento 
um resumo do número de bits utilizados para a máscara de sub-rede, por padrão, nas 
classes A, Be C: 


Classe Octeto 04 | Mascara padräo 


E e amanan f nannti | 00000000 
Td fim LEE EEE E o 











Figura - Máscara padrão para as classes A, Be C 


Para subdividir uma rede classe A em sub-redes, basta usar bits adicionais para a 
máscara de sub-rede. Por padrão são utilizados 8 bits. Se você utilizar 10, 12 ou mais 
bits, estará criando sub-redes. O mesmo raciocínio é válido para as redes classe B, 
as quais utilizam, por padrão, 16 bits para a máscara de sub-rede. Se você utilizar 
18, 20 ou mais bits para a máscara de sub-rede, estará subdividindo a rede classe B 
em várias sub-redes. 


As fórmulas para cálculo do número de sub-redes e do número de hosts em cada 
sub-rede são as mesmas apresentadas anteriormente, independentemente da classe 
da rede que está sendo dividida em sub-redes. 


A seguir é apresentado uma tabela com o número de sub-redes e o número de 
hosts em cada sub-rede, dependendo do número de bits adicionais (além do padrão 
definido para a classe) utilizados para a máscara de sub-rede, para a divisão de uma 
rede Classe B: 
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Divisäo de uma rede classe B em sub-redes 
Número de bits | Sub-redes | Hosts | Nova máscara de sub-rede | 
| 6 | 8190 | 255.255.2240 | 
[| 126 | 





126 
9 
i0 
11 
12 
13 [ago | 6 | 255.255.055.248 | 











Tabela - Numero de redes e numero de hosts em cada rede - Classe B. 


Observe como o entendimento dos calculos binarios realizados pelo TCP/IP facilita 
o entendimento de varios assuntos relacionados ao TCP/IP, inclusive o conceito de 
subnet. Por padrao a classe B utiliza 16 bits para a mascara de sub-rede, ou seja, 
uma mascara padrao: 255.255..0.0. Agora se utilizar oito bits adicionais (todo o 
terceiro octeto) para a mascara, tera todos os bits do terceiro octeto como sendo 
iguais a 1, com isso a mascara passa a ser: 255.255.255.0. Este resultado esta 
coerente com a tabela da Figura 16.11. Agora ao invés de 8 bits adicionais, utilize 9. 
Ou seja, todo o terceiro octeto (8 bits) mais o primeiro bit do quarto octeto. O primeiro 
bit, o bit bem a esquerda é o bit de valor mais alto, ou seja, o que vale 128. Ao 
usar este bit também para a mascara de sub-rede, sera obtida a seguinte mascara: 
255.255.255.128. Também fecha com a tabela anterior. Com isso se conclui que o 
entendimento da aritemética e da representaçäo binaria, facilita muito o estudo do 
protocolo TCP/IP e de assuntos relacionados, tais como subnet e roteamento. 


A seguir é apresentada uma tabela com o numero de sub-redes e o numero de 
hosts em cada sub-rede, dependendo do numero de bits adicionais (além do padrao 
definido para a (classe) utilizados para a mascara de sub-rede, para a divisao de 
uma rede Classe A: 
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Divisäo de uma rede classe C em sub-redes 








Número de bits 
2 
3 [_6 |209750 | 25s.22400 | 
4 
5 
6 [| 62 | 262142 | 255,2520.0 | 
7 
8 
9 
10 
11 
12 
13 
14 
15 
16 
17 
18 
19 255.255.255.224 
20 
21 | 2097150 | 6 | 255.255.255.248 | 
22 


Tabela - Numero de redes e numero de hosts em cada rede - Classe A. 


Um fato importante, que é destacado novamente é que todas as sub-redes (resultan- 
tes da divisão de uma rede), utilizam o mesmo número para a máscara de sub-rede. 
Por exemplo, na quarta linha da tabela indicada na Figura 16.12, é utilizado 5 bits adi- 
cionais para a máscara de sub-rede, o que resulta em 30 sub-redes diferentes, porém 
todas utilizando como máscara de sub-rede o seguinte número: 255.248.0.0. 


Muito bem, entendido o conceito de divisão em sub-redes e de determinação do 
número de sub-redes, do número de hosts em cada sub-rede e de como é formada 
a nova máscara de sub-rede, a próxima questão que pode surgir é a seguinte: 


Como listar as faixas de endereços para cada sub-rede? Este é exatamente o as- 
sunto que vem a seguir. 


Como listar as faixas de endereços dentro de cada sub-rede 


Vamos entender esta questão através de exemplos práticos. 


Exemplo 01: Dividir a seguinte rede classe C: 229.45.32.0/255.255.255.0. São ne- 
cessárias, pelo menos, 10 sub-redes. Determinar o seguinte: 
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a) Quantos bits serao necessarios para fazer a divisao e obter pelo menos 10 sub- 
redes? 


b) Quantos numeros IP (hosts) estarao disponiveis em cada sub-rede? 
c) Qual a nova mascara de sub-rede? 


d) Listar a faixa de endereços de cada sub-rede. Vamos ao trabalho. Para responder 
a questao da letra a, vocé deve lembrar da formula: 


Num. de sub-redes = 2n-2 


Vocé pode ir substituindo n por valores sucessivos, até atingir ou superar o valor de 
10. Por exemplo, para n=2, a fórmula resulta em 2, para n=3, a fórmula resulta em 6, 
para n=4 a fórmula resulta em 14. Bem, está respondida a questão da letra a, temos 
que utilizar quatro bits do quarto octeto para fazer parte da máscara de sub-rede. 


a) Quantos bits serão necessários para fazer a divisão e obter pelo menos 10 sub- 
redes? R: 4 bits. 


Como utilizei quatro bits do último octeto (além dos 24 bits dos três primeiros octetos, 
os quais já faziam parte da máscara original), sobraram apenas 4 bits para os ende- 
reços IP, ou seja, para os endereços de hosts em cada sub-rede. Tenho que lembrar 
da seguinte fórmula: Núm. de end. IP dentro de cada sub-rede = 2n-2 substituindo 
n por 4, vou obter um valor de 14. Com isso já estou em condições de responder a 
alternativa b. 


b) Quantos números IP (hosts) estarão disponíveis em cada sub-rede? R: 14. 


Como utilizei quatro bits do quarto octeto para fazer a divisão em sub-redes, os quatro 
primeiros bits foram definidos iguais a 1. Basta somar os respectivos valores, ou seja: 
128+64+32+16 = 240. Ou seja, com os quatro primeiros bits do quarto octeto sendo 
iguais a 1, o valor do quarto octeto passa para 240, com isso já temos condições de 
responder a alternativa c. 
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c) Qual a nova mascara de sub-rede? R: 255.255.255.240 


E importante lembrar, mais uma vez, que esta sera a mascara de sub-rede utilizada 
por todas as 14 sub-redes. 


d) Listar a faixa de endereços de cada sub-rede. Esta é a novidade deste item. 
Como saber de que número até que número vai cada endereço IP. Esta também é 
fácil, embora seja novidade. Observe o último bit definido para a máscara. No nosso 
exemplo é o quarto bit do quarto octeto. Qual o valor decimal do quarto bit? 16 (o 
primeiro é 128, o segundo 64, o terceiro 32 e assim por diante, conforme explicado 
na Parte 2). O valor do último bit é um indicativo das faixas de variação para este 
exemplo. Ou seja, na prática temos 16 hosts em cada sub-rede, embora o primeiro e 
o último não devam ser utilizados, pois o primeiro é o endereço da própria sub-rede 
e o último é o endereço de broadcast da sub-rede. Por isso que ficam 14 hosts por 
sub-rede, devido ao -2"na fórmula, o -2"significa: - o primeiro - o último. Ao listar 
as faixas, consideramos os 16 hosts, apenas é importante salienar que o primeiro 
e o ultimo não são utilizados. Com isso a primeira sub-rede vai do host 0 até o 15, 
a segunda sub-rede do 16 até o 31, a terceira do 32 até o 47 e assim por diante, 
conforme indicado no esquema a seguir: 


Divisão da rede em 14 sub-redes, onde cada sub-rede fica com 16 endereços IP, 
sendo que a primeira e a última sub-rede não são utilizadas e o primeiro e o último 
número IP, dentro de cada sub-rede, também não são utilizados: 

Sub-rede 01 229.45.32.0 -> 229.45.32.15 

Sub-rede 02 229.45.32.16 -> 229.45.32.31 

Sub-rede 03 229.45.32.32 -> 229.45.32.47 

Sub-rede 04 229.45.32.48 -> 229.45.32.63 


Sub-rede 05 229.45.32.64 -> 229.45.32.79 


Sub-rede 06 229.45.32.80 -> 229.45.32.95 
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Sub-rede 07 229.45.32.96 -> 229.45.32.111 

Sub-rede 08 229.45.32.112 -> 229.45.32.127 
Sub-rede 09 229.45.32.128 -> 229.45.32.143 
Sub-rede 10 229.45.32.144 -> 229.45.32.159 
Sub-rede 11 229.45.32.160 -> 229.45.32.175 
Sub-rede 12 229.45.32.176 -> 229.45.32.191 
Sub-rede 13 229.45.32.192 -> 229.45.32.207 
Sub-rede 14 229.45.32.208 -> 229.45.32.223 
Sub-rede 15 229.45.32.224 -> 229.45.32.239 
Sub-rede 16 229.45.32.240 -> 229.45.32.255 


Vamos a mais um exemplo pratico, agora usando uma rede classe B, que tem inici- 
almente, uma mascara de sub-rede: 255.255.0.0 


Exemplo 02: Dividir a seguinte rede classe B: 150.100.0.0/255.255.0.0. Sao neces- 
sarias, pelo menos, 20 sub-redes. Determinar o seguinte: 


a) Quantos bits serao necessarios para fazer a divisäo e obter pelo menos 10 sub- 
redes? 


b) Quantos numeros IP (hosts) estarao disponiveis em cada sub-rede? 
c) Qual a nova mascara de sub-rede? 


d) Listar a faixa de enderecos de cada sub-rede. Vamos ao trabalho. Para responder 
a questao da letra a, vocé deve lembrar da formula: 
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Núm. de sub-redes = 2n-2 


Você pode ir substituindo n por valores sucessivos, até atingir ou superar o valor de 
10. Por exemplo, para n=2, a fórmula resulta em 2, para n=3, a fórmula resulta em 
6, para n=4 a fórmula resulta em 14 e para n=5 a fórmula resulta em 30. Bem, está 
respondida a questão da letra a, temos que utilizar cinco bits do terceiro octeto para 
fazer parte da máscara de sub-rede. Pois se utilizar apenas 4 bits, obterá somente 
14 sub-redes e usando mais de 5 bits, obterá um número de sub-redes bem maior 
do que o necessário. 


a) Quantos bits serão necessários para fazer a divisão e obter pelo menos 20 sub- 
redes? 


R: 5 bits. 


Como utilizei cinco bits do terceiro octeto (além dos 16 bits dos dois primeiros oc- 
tetos, os quais ja faziam parte da mascara original), sobraram apenas 11 bits (os 
três restantes do terceiro octeto mais os 8 bits do quarto octeto) para os endereços 
IP, ou seja, para os endereços de hosts em cada sub-rede. Lembre-se da seguinte 
formula: 


Núm. de endereços IP dentro de cada sub-rede = 2n-2 Substituindo n por 11 (numero 
de bits que restarama para a parte de host), vou obter um valor de 2046, já descon- 
tando o primeiro e o último número, os quais não podem ser utilizados, conforme já 
descrito anteriormente. Com isso já estou em condições de responder a alternativa 
b. 


b) Quantos nümeros IP (hosts) estarao disponiveis em cada sub-rede? 

R: 2046. 

Como utilizei cinco bits do terceiro octeto para fazer a divisäo em sub-redes, os cinco 
primeiros bits foram definidos iguais a 1. Basta somar os respectivos valores, ou 


seja: 128+64+32+16+8 = 248. Ou seja, com os quatro primeiros bits do quarto 
octeto sendo iguais a 1, o valor do quarto octeto passa para 248, com isso ja temos 
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condições de responder a alternativa c. 
c) Qual a nova máscara de sub-rede? 


R: 255.255.248.0 É importante lembrar, mais uma vez, que esta será a máscara de 
sub-rede utilizada por todas as 30 sub-redes. 


d) Listar a faixa de endereços de cada sub-rede. Como saber de que número até que 
número vai cada endereço IP. Esta também é fácil e o raciocínio é o mesmo utilizado 
para o exemplo anterior, onde foi feita uma divisão de uma rede classe C. Observe 
o último bit definido para a máscara. No nosso exemplo é o quinto bit do terceiro 
octeto. Qual o valor decimal do quinto bit (de qualque octeto)? 8 (o primeiro é 128, 
o segundo 64, o terceiro 32, o quarto é 16 e o quinto é 8. O valor do último bit é um 
indicativo das faixas de variação para este exemplo. Ou seja, na prática temos 2048 
hosts em cada sub-rede, embora o primeiro e o último não devam ser utilizados, pois 
o primeiro é o endereço da própria sub-rede e o último é o endereço de broadcast 
da sub-rede. Por isso que ficam 2046 hosts por sub-rede, devido ao -2"na fórmula, o 
-2"significa: - o primeiro - o último. Ao listar as faixas, consideramos o valor do ultimo 
bit da máscara. No nosso exemplo é o 8. A primeira faixa vai do zero até um número 
anterior ao valor do último bit, no caso do O ao 7. A seguir indico a faixa de endereços 
da primeira sub-rede (sub-rede que não será utilizada na prática, pois descarta-se a 
primeira e a última): 


Sub-rede 01 150.100.0.1 -> 150.100.7.254 


Com isso todo endereço IP que tiver o terceiro número na faixa entre O e 7, será um 
número IP da primeira sub-rede, conforme os exemplos a seguir: 


150.100.0.25 
150.100.3.20 
150.100.5.0 


150.100.6.244 
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Importante: Observe que os valores de 0 a 7 sao definidos no terceiro octeto, que é 
onde estamos utilizando cinco bits a mais para fazer a divisão em sub-redes. 


Qual seria a faixa de endereços IP da préxima sub-rede. Aqui vale o mesmo reci- 
ocínio. O ultimo bit da máscara equivale ao valor 8. Esta é a variação da terceira 
parte do número IP, que é onde esta sendo feita a divisão em sub-redes. Então, se a 
primeira foi de O até 7, a segunda sub-rede terá valores de 8 a 15 no terceiro octeto, 
a terceira sub-rede terá valores de 16 a 23 e assim por diante. 


Divisão da rede em 32 sub-redes, onde cada sub-rede fica com 2048 endereços IP, 
sendo que a primeira e a última sub-rede não são utilizadas e o primeiro e o último 
número IP, dentro de cada sub-rede, também não são utilizados: 


Sub-rede Primeiro IP Último IP End. de broadcast Número 


150.100.0.0 150.100.0.1 150.100.7.254 150.100.7.255 01 
150.100.8.0 150.100.8.1 150.100.15.254 150.100.15.255 02 
150.100.16.0 150.100.16.1 150.100.23.254 150.100.23.255 03 
150.100.24.0 150.100.24.1 150.100.31.254 150.100.31.255 04 
150.100.32.0 150.100.32.1 150.100.39.254 150.100.39.255 05 
150.100.40.0 150.100.40.1 150.100.47.254 150.100.47.255 06 
150.100.48.0 150.100.48.1 150.100.55.254 150.100.55.255 07 
150.100.56.0 150.100.56.1 150.100.63.254 150.100.63.255 08 
150.100.64.0 150.100.64.1 150.100.71.254 150.100.71.255 09 
150.100.72.0 150.100.72.1 150.100.79.254 150.100.79.255 10 
150.100.80.0 150.100.80.1 150.100.87.254 150.100.87.255 11 
150.100.88.0 150.100.88.1 150.100.95.254 150.100.95.255 12 
150.100.96.0 150.100.96.1 150.100.103.254  150.100.103.255 13 
150.100.104.0 150.100.104.1 150.100.111.254 150.100.111.255 14 
150.100.104.0 150.100.104.1 150.100.111.254 150.100.111.255 14 
150.100.112.0 150.100.112.1 150.100.119.254 150.100.119.255 15 
150.100.120.0 150.100.120.1 150.100.127.254 150.100.127.255 16 
150.100.128.0 150.100.128.1 150.100.135.254 150.100.135.255 17 
150.100.136.0 150.100.136.1 150.100.143.254 150.100.143.255 18 
150.100.144.0 150.100.144.1 150.100.151.254 150.100.151.255 19 


150.100.152.0 150.100.152.1 150.100.159.254 150.100.159.25520 
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150.100.160.0 150.100.160.1 150.100.167.254 150.100.167.255 21 
150.100.168.0 150.100.168.1 150.100.175.254 150.100.175.255 22 
150.100.176.0 150.100.176.1 150.100.183.254 150.100.183.255 23 
150.100.184.0 150.100.184.1 150.100.191.254 150.100.191.255 24 
150.100.192.0 150.100.192.1 150.100.199.254 150.100.199.255 25 
150.100.200.0 150.100.200.1 150.100.207.254 150.100.207.255 26 
150.100.208.0 150.100.208.1 150.100.215.254 150.100.215.255 27 
150.100.216.0 150.100.216.1 150.100.223.254 150.100.223.255 28 
150.100.224.0 150.100.224.1 150.100.231.254 150.100.231.255 29 
150.100.232.0 150.100.232.1 150.100.239.254 150.100.239.255 30 
150.100.240.0 150.100.240.1 150.100.247.254 150.100.247.255 31 
150.100.248.0 150.100.2481 150.100.255.254 150.100.255.255 32 


Com base na tabela apresentada, fica fácil responder em que sub-rede está contido 
um determinado número IP. Por exemplo, considere o número IP 150.100.130.222. 
Primeiro você observa o terceiro octeto do número IP (o terceiro, porque é neste 
octeto que estão os últimos bits que foram utilizados para a máscara de sub-rede). 
Consultando a tabela anterior, você observa o valor de 130 para o terceiro octeto 
corresponde a sub-rede 17, na qual o terceiro octeto varia entre 128 e 135, conforme 
indicado a seguir: 


11.2.2 Ipv6 


"IPv6 é a nova versão do protocolo de redes de dados nos quais a Internet está ba- 
seada. O IETF (Internet Engineering Task Force), desenvolveu suas especificações 
básicas durante os anos 90. A principal motivação para o desenvolvimento e lan- 
çamento do IPv6 foi a expansão do espaço de endereços disponíveis na Internet, 
permitindo assim que se conectem bilhões de novos dispositivos (PDAs, telefones 
celulares, etc), novos usários e tecnologias sempre-conectada (xDSL, cabo, Ether- 
net ou fibra direto na residência, comunicação via rede elétrica, etc). 


Não existem classes como A, Be C. O IPv6 utiliza o conceito de CIDR (FULLER, 
1993), onde um determinado número de bits corresponde ao prefixo da rede, e os 
bits restantes identificam o nó. 
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O protocolo ARP não é utilizado em IPV6, pois não existe broadcast em IPv6 e o ARP 
baseia-se em broadcast. Em seu lugar, é utilizado o protocolo ICMPv6 e transmissão 
multicast. 


Espaço de endereçamento 


O espaço de endereçamento do IPv6 é de 128 bits, contra os 32 bits do IPv4. Esta é 
a mudança mais visível do IPv6 em relação ao IPv4. Algumas das primeiras propos- 
tas de evolução do IPv4 - vide CALLON (1992), PISTICELLO (1993) e BRADNER & 
MANKIN (1993) - propunham espaços de endereçamento de 64 ou 96 bits, perfeita- 
mente suficientes para um prazo razoavelmente longo. 


A proposta mais interessante, denominada TUBA (TCP and UDP with Bigger Ad- 
dresses) propunha a substituição do IP pelo CNLP da pilha OSI. O CNLP é bem 
documentado e tem um espaço de endereçamento de até 20 octetos (160 bits). A 
indisposição generalizada da comunidade Internet com o protocolo OSI, constatada 
no trabalho de DIXON (1993), acabou sepultando a idéia. Textos a favor e contra o 
TUBA e o OSI podem ser encontrados facilmente na Internet. 


O endereçamento finalmente adotado visa, principalmente: a) abrir espaço à cria- 
ção de tantas classes de endereços quantas forem necessárias, e ainda ter espaço 
de sobra para um número virtualmente inesgotável de endereços dentro de cada 
classe; 


b) utilização massiva de roteamento por agregação, onde todas as sub-redes de 
uma mesma rede apresentam o mesmo prefixo de rede. Isto diminui drasticamente 
o número de rotas que cada roteador tem de conhecer, em todos os níveis. 


Embora o roteamento por agregação seja padrão para IPv4 desde 1995 com a im- 
plementação da CIDR (FULLER, 1993), nem todas as redes classe A, B ou C podem 
ser renumeradas, e os roteadores da espinha dorsal da Internet têm de conhecer 
rotas específicas para inúmeras redes não agregadas. 


O tamanho do endereço IPv6 comporta tanto profundas hierarquias de endereça- 
mento por agregação bem como um grande número de nós por sub-rede. Isso per- 
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a) liberal distribuição de faixas de endereçamento a usuários finais, tornando desne- 
cessários, por exemplo, os complexos roteadores NAT (Network Address Translation 
— tradução de endereço de rede) para compartilhamento de um IP por vários usuá- 
rios. O IPv6 acaba com os cidadãos de segunda classe da Internet; 


b) Com o desuso do NAT, ocorre uma grande simplificação na configuração de ser- 
vidores e dispositivos de rede, o que contribui para o barateamento do acesso à In- 
ternet. Evita todos os problemas citados por PENA (2001) e permite que apareçam 
protocolos mais sofisticados como voz sobre IP. 


Nada impede de um sistema operacional ou dispositivo de rede implementar NAT 
para IPv6, e de fato é implementado no Linux. Alguns administradores de rede têm 
a sensação subjetiva de que NAT aumenta a segurança, embora isso seja muito 
discutível. 


11.3 Tipos de Endereços IPv6 


O grande espaço de endereçamento visa a criação facilitada de classes de ende- 
reçamento. Tais classes, mais apropriadamente denominadas de faixas de endere- 
çamento, são registradas junto à IETF. Segue uma lista das principais faixas e os 
respectivos prefixos IPV6. 


0000::/8 Reservado 

0000::/96 Endereços IPv6 compatíveis com IPv4 
::FFFF:0:0/96 Endereços IPv4 mapeados em IPv6 

0200::/8 NSAP (obsoleto) 

0400::/8 IPX (obsoleto) 

2000::/3 Endereços roteáveis na Internet (prefixos 2xxx e 3xxx) 
FE80::/10 Endereços da rede local (automáticos, estáticos ou stateless) 
FEC0::/19 Endereços do sítio local 

FF00::/8 Multicast 
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Aproximadamente 15% do espaço de endereçamento IPv6 foi alocado. Restam 
ainda 85%. 


Segundo a RFC 2374, uma mesma interface, que utiliza o protocolo IPv6, pode utili- 
zar mais de um endereço, diferentemente do IPv4, onde tal característica só era pos- 
sível em roteadores. Essa característica é importante porque na versão 6 algumas 
aplicações, em geral de controle, utilizam-se de endereços especiais que veremos 
adiante. Para o endereçamento das interfaces existem então 3 tipos de endereços: 


e Unicast; 
* Anycast; 
e Multicast. 


Outra caracteristica marcante do IPv6 é que nao existem mais os endereços broad- 
cast, que endereçavam todos os hosts de um mesmo dominio de colisão, isto é, uma 
pacote com endereço de destino do tipo broadcast era enviado para todos os hosts 
de seu domínio de colisão. Com a abolição desse tipo endereço, outro protocolo 
muito comum no IPv4 também ficou em desuso, o ARP — Address Resolution Proto- 
col, que usava endereços broadcast para descoberta do endereço MAC da interface 
referente ao endereço de destino do pacote. 


11.3.1 Endereços Unicast 


Esse tipo de endereço é comumente usado em IPv4, que identifica apenas uma 
única interface. Desta forma um pacote destinado a um endereço do tipo Unicast é 
enviado diretamente para a interface associada a esse endereço. Foram definidos 
pela RFC 2374 vários tipos de endereços Unicast : 


Agregatable Global Unicast Address 


* Loopback Address 
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* Unspecified Address 


e NSAP Address 


e |PX AddressSite-local Unicast Address 


e Link-local Unicast Address 


e IPv4-compatible IPv6 Address 


Agregatable Global Unicast Address 


Esse tipo de endereço unicast é equivalente ao endereço global unicast usado em 
IPv4. Sendo assim é o endereço que será usado globalmente na Internet. Essa 
estrutura de endereços globais permite uma agregação de prefixos de roteamento 
que limitam o número de entradas nas tabelas de rotas. 


A estrutura deste tipo de endereço é dividida em 4 níveis, o primeiro é o FP - Format 
Prefix, que indica justamente que se trata de um endereço do tipo Global Unicast, 
esse FP deve ser sempre 001, como vimos na tabela Ill - Alocação de endereços 
IPv6, na seção anterior. 


O segundo campo é chamado Global Routing Prefix, e é destinado a identificação 
dos ISP’s - Internet Service Provider, ele possui vários níveis e seguem a estrutura 
apresentada na seção anterior. O terceiro campo Subnet ID também foi apresentado 
anteriormente como sendo o campo Site ID da estrutura de hierarquização do ende- 
reço IPv6, o último nível é o Interface ID, que também já foi abordado e possui 64 
bits. Abaixo, vemos na figura a estrutura desse tipo de endereço: 
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Estrutura do endereço Aggregatable Global Unicast Address. 
Loopback Address 


Esse tipo de endereço, como o próprio nome já diz, é o endereço da própria interface. 
Porém ele só pode ser usado quando um nó envia um pacote para ele mesmo. No 
IPv4 esse tipo de endereço era geralmente o 127.0.0.1, em IPv6 é indicado por: 
0:0:0:0:0:0:0:1 


ou simplesmente: 


Esse endereço não pode ser associado a nenhuma interface física, nem como ende- 
reço de fonte, nem como endereço de destino, mas pode ser imaginado como sendo 
de uma interface virtual, a interface loopback. Um pacote IPv6 com endereço destino 
do tipo loopback address também não deve deixar o próprio host, sendo que esse 
endereço nunca será repassado por um roteador IPv6. 


Unspecified Address 


Esse tipo de endereço indica exatamente a ausência de um endereço. Ele nunca 
deverá ser utilizado como um endereço válido para nenhum host. A sua utilidade é 
para que estações que ainda não foram inicializadas, sejam identificadas com en- 
dereços deste tipo, ou seja, hosts que ainda não tenham aprendido seus próprios 
endereços globais, utilizem tais endereços para se autoconfigurar. Além disso, esse 
tipo de endereço não deve ser utilizado como endereço de destino ou em cabeçalho 
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de roteamento de pacotes IPv6. Seu formato é o seguinte: 
0:0:0:0:0:0:0:0 


ou simplesmente: 


NSAP Address 


Esse tipo de endereço é ident ificado pelo prefixo FP - 0000001. Ele foi definido pela 
RFC 1888 - OSI NSAPs and IPv6 como mecanismo de suporte para endereçamento 
OSI NSAP - Network Service Access Point em redes IPv6. Possui além do FP de 7 
bits, que o indica, 121 bits para constituição de seu endereço. IPX Address 


É também um endereço especial para compatibilidade de endereços existentes. É 
identificado pelo prefixo 0000010, incluído para prover mecanismo de mapeamento 
de endereços IPX - Internal Packet eXchange em endereços IPv6. Os endereços 
IPX são utilizados em redes Netware, de propriedade da Novell. Da mesma forma 
que o NSAP Address possui 7 bits de FP e 121 bits para constituição do endereço. 


Site Local Unicast Address 


O endereço do tipo Site Local é similar aos endereços privados usados em IPv4, 
como as redes 10.0.0.0 /8, 172.16.0.0/16 e 198.168.0.0/16. Esses endereços podem 
ser usados para uma comunicação restrita dentro de um domínio específico. 


Este tipo de endereço é identificado pelo prefixo FECO::/10 ou 1111111011 em bi- 
nário. Ele pode ser definido para uso interno numa organização através da conca- 
tenação do campo de SLA (16 bits) com a identificação da interface (64 bits). Este 
tipo de endereçamento pode ser considerado como privado, visto que ele está res- 
trito a um domínio sem ligação à Internet. Desta forma ele não pode ser anunciado 
externamente por roteadores. Abaixo podemos visualizar a estrutura deste tipo de 
endereço. 
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128 bits 


= EE irc D 
Dee ——À— 
Subnet ID 64 bits 


A4— - — #5 
16 bits 





E 
3 


10 bits 
Estrutura do endereço Site Local Unicast Address. 


Link Local Unicast Address 


Este tipo de endereço é automaticamente configurado em qualquer host IPv6, atra- 
vés da conjugação do seu prefixo FE80::/10 ou 1111111010 em binário, como pode 
ser visto na tabela Ill, e a identificação da interface no formato EUI-64, mostrado 
anteriormente. Estes endereços são utilizados nos processos de configuração dinâ- 
mica automática (autoconfiguração) e no processo de descoberta de elementos na 
hierarquia de roteamento (Neighbor Discovery Protocol). Estes procedimentos se- 
rão vistos com detalhes na próxima seção. Este endereçamento permite também a 
comunicação entre nós pertencentes ao mesmo enlace. Como nos endereços Site 
Local, esse tipo de endereço não deve ser enviado como endereço de origem ou des- 
tino em pacotes. Além disso esses endereços não são repassados pelos roteadores. 
Abaixo podemos visualizar a estrutura deste tipo de endereço. 


128 bits 


ES Interface ID 
oe 


64 bits 





m 
8 
= 
3 


10 bits 
Estrutura do endereço Site Local Unicast Address. 


IPv4-compatible IPv6 Address 
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Esse tipo de endereço é usado em IPv6 como um mecanismo de transição entre IPv6 
e IPv4. É utilizado como endereços de destino e origem em tunnel (encapsulamento 
de um protocolo sobre outro) IPv6 sobre IPv4. É representado por um endereço IPv6 
cujos últimos 32 bits são um endereço IPv4. Desta forma, anexando-se um prefixo 
nulo (96 bits de zeros) a um endereço IPv4 (32 bits) obtém-se o seguinte formato: 


0:0:0:0:0:0:192.168.30.1 
ou no seu formato abreviado 
::192.168.30.1 


Abaixo é mostrada a estrutura deste endereço. 


96 bits 32 bits 


que pq 


Essas. Já 


0:0:0:0:0:0 192.168.30.1 
IPv4-Compatiblo Address = 0:0:0:0:0:0:192.168.30.1 
= ::192.168.30.1 


C0A8:1E01 


Estrutura do endereço IPv6 compatible IPv4 Address. 


11.4 Endereços Anycast 


Esse tipo de endereço é utilizado para identificar um grupo de interfaces pertencentes 
a hosts diferentes. Um pacote destinado a um endereço Anycast é enviado para um 
das interfaces identificadas pelo endereço. Especificamente, o pacote é enviado para 
a interface mais próxima, de acordo com o protocolo de roteamento. 


Um endereço do tipo Anycast não pode ser utilizado como endereço de origem de 
um pacote IPv6. Este tipo de endereçamento sera útil na detecção rápida de um 
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determinado servidor ou serviço. Por exemplo, poderá ser definido um grupo de 
servidores de DNS configurados com endereçamento Anycast, assim um host irá 
alcançar o servidor mais próximo utilizando este tipo de endereço. 


Existe um prefixo mais longo desse mesmo endereço para cada endereço Anycast 
atribuído que identifica a região ao qual todas as interfaces pertencem. Abaixo é 
mostrada a estrutura básica deste tipo de endereço. 


128 bits 


Prefix <--> 





Estrutura do endereco Anycast. 


11.4.1 Endereço Multicast 


Da mesma forma que o endereço Anycast, este endereço identifica um grupo de 
interfaces pertencente a diferentes hosts mas um pacote destinado a um endereço 
Multicast é enviado para todas as interfaces que fazem parte deste grupo. 


Um endereço do tipo Multicast Address é um endereço IPv6, que é indicado pelo pre- 
fixo FP, como visto na tabela Ill, FFOO::/8 ou 11111111 em binário. O segundo octeto 
que se segue ao prefixo (FP = FF) define o tempo de vida (lifetime), os 4 primeiros 
bits e o escopo do endereço Multicast, os últimos 4 bits deste octeto. Um endereço 
com lifetime permanente tem um parâmetro de tempo de vida igual a "0", enquanto 
um endereço temporário tem o mesmo parâmetro igual a "1". O escopo para este 
tipo de endereço apresenta os valores já definidos de 1, 2, 3, 4, 5, 8 e "E"(os outros 
estão reservados para o futuro, sendo que o escopo F já está reservado para ser 
usado para âmbito galáctico) para identificar um host, enlace, site, organização ou 
um escopo global, respectivamente. Os outros 112 bits são utilizados para identificar 
o grupo Multicast. Abaixo, visualizamos a estrutura de um endereço. 
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128 bits 





112 bits 


HM PETS eee 


0 if permanent 
Flag = 
DE JE | Flag | Scope | if temporary 


|e] te jo qe 
8 bits 8 bits | = interface-local 





2 = link-local 

3 = subnet-local 
Scope = 4 4 = admin-local 

5 = site-local 

8 = organization-local 

i 


global 


Estrutura do endereço Anycast. 


Dentro dos endereços Multicast já reservados, podemos identificar alguns endereços 
especiais utilizados para funções específicas (todos de lifetime permanente): 


FF01::1 — Indica todas as interfaces de escopo local, isto é, somente as inter- 
faces de um mesmo host. 


FF02::1 — Indica todas as interfaces de um escopo de enlace local, isto é, todos 
os hosts de um mesmo domínio de colisão. 


FF01::2 — Indica todos os roteadores dentro de um escopo local, isto é, todas 
as interfaces de um mesmo roteador. 


FF02::2 — Indica todos os roteadores dentro de um escopo de enlace local, isto 
é, todos os roteadores interligados por um mesmo enlace. 


FF05::2 — Indica todos os roteadores dentro de um escopo site local, isto é, 
todos os roteadores que possuem um mesmo site ID. 


FFO2::1:FFxx:xxxx — Endereço especial chamado de Solicited-Node Multicast 
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Address, onde xx:xxxx representam os últimos 24 bits do endereço IPv6 Uni- 
cast do host. 


Solicited-Node Multicast Address 

Esse tipo de endereço Multicast especial é usado para mensagens de solicitação 
de vizinho que auxilia o Neighbor Discovery Protocol e que será visto com mais 
detalhes na próxima seção. Esse endereço é um grupo Multicast que corresponde a 


um endereço IPv6 Unicast. A figura abaixo apresenta a estrutura desse endereço. 


IPv6 Address 


I 
1 
I 
ES a EE e 
Solicited-Node Multicast Address < 





11.5 Estrutura do endereço Anycast 


Comandos avançados de redes: 


Configure uma rede para que as máquinas Debian e Red Hat fiquem em redes dis- 
tintas: rede 192.168.200.0 


Com a máscara 255.255.255.240, teremos dezesseis endereços por sub-rede, sendo 
quatorze utilizáveis, pois o primeiro é reservado para rede e o último pra broadcast. 
subrede. 


Ranges: 192.168.200. 


0-15 64-79 128-143 192-207 
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16-31 80-95 144-159 208-223 
32-47 96-111 160-175 224-239 
48-63 112-127 176-191 240-255 


Para as maquinas Debian vamos utilizar o range 80-95 

# ifconfig ethO 192.168.200.81 netmask 255.255.255.255. 248 
Para as maquinas CentOS vamos utilizar o range 240-255: 

# ifconfig ethO 192.168.200.241 netmask 255.255.255.255.240 
Agora na Debian tente pingar a maquina CentOS e vice-versa: 

# ping 192.168.200.241 


Nao é possivel, pois as maquinas estao em sub-redes diferentes. 


Agora no cliente CentOS adicione duas placas de rede uma pra cada subrede. 


# ifconfig eth1 192.168.200.82 netmask 255.255.255.255. 240 
# ifconfig eth2 192.168.200.242 netmask 255.255.255.255.240 


Pingue da maquina cliente CentOS os dois servidores: 


# ping 192.168.200.241 
# ping 192.168.200.81 
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Agora na Debian tente pingar a maquina CentOS e vice-versa: 
# ping 192.168.200.241 


Ainda nao é possivel. 
Para que as duas maquina possam se pingar, adicione o cliente Debian como rota: 


No Server Debian: 


# route add default gw 192.168.2000. 82 


No Server CentOS: 


# route add default gw 192.168.200.242 


Agora na Debian tente pingar a maquina CentOS e vice-versa: 


# ping 192.168.200.241 


Novamente no server Debian tente pingar a maquina servidora CentOS e vice-versa: 


Mesmo após adicionarmos a rota para o gateway das redes ainda não é possível 
pinga-los. 


Isto ocorre porque o linux por padrao nao encaminha pacotes, na maquina gateway 
(cliente CentOS) ajuste o encaminhamento: 


Visualize o bloqueio do encaminhamento de pacotes: 
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# cat /proc/sys/net/ipv4/ip_forward 


1 = habilitado 0 = desabilitado 


Altere seu valor temporariamente: 
# echo 1 > /proc/sys/net/ipv4/ip_forward 
Para ficar permanente edite o arquivo /etc/sysctl.conf e adicione a linha abaixo: 


# vim /etc/sysctl.conf 


net.ipv4.ip_forward = 1 


Salve o arquivo e execute o comando seguinte para validar a regra e ficar perma- 
nente: 


# sysctl -p 


11.6 ARP - Address Resolution Protocol 


Address Resolution Protocol ou ARP é um protocolo usado para encontrar um ende- 
reco da camada de enlace (Ethernet, por exemplo) a partir do endereço da camada 
de rede (como um endereço IP). O emissor difunde em broadcast um pacote ARP 
contendo o endereço IP de outro host e espera uma resposta com um endereço MAC 
respectivo. Cada máquina mantém uma tabela de resolução em cache para reduzir 
a latência e carga na rede. O ARP permite que o endereço IP seja independente do 
endereço Ethernet, mas apenas funciona se todos os hosts o suportarem. 
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No servidor Debian: 


Execute o comando “ping” para o endereço de “broadcast”: 

# ping -b 192.168.200.95 

O linux por padräo nao aceita pacotes icmp em broadcast: Visualize: 

# cat /proc/sys/net/ipv4/icmp_echo_ignore_broadcast 

Para habilitar temporariamente: 

# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcast 

Para habilitar permanentemente, adicione a linha a seguir no arquivo /etc/sysctl.conf: 


# vim /etc/sysctl.conf 


net.ipv4.icmp echo ignore broadcast = 0 

Salve e releia as configurações: 

# sysctl -p 

Execute o comando “ping” novamente para o endereço de “broadcast”: 
# ping -b 192.168.200.95 


Agora visualize a tabela ARP com o comando “arp” : 
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# arp ~-n 


Vamos configurar a rede IPV6 agora: Ao conectarmos o cabo de rede a placa de rede 
já obtém um endereço IPV6, através do endereço de sua placa de rede. Cheque o 
servidor Debian: Para visualizar o ipv6 configurado automaticamente: 


# ifconfig eth0 | grep inet6 

ou 

# ip -6 addr show dev eth0 

Cheque se o servidor CentOS está com o suporte a ipv6 habilitado: 


# cat /etc/sysconfig/network: 
NETWORKING. IPV6-=yes 


Verifique se a placa de rede tem suporte habilitado: 


# cat /etc/sysconfig/network-scripts/ifcfg-etho 
IPV6INIT = yes 


Ping as máquinas pelo IPV6: 
# ping6 -I eth0 fe80::72f1l:alff:fec5:fclc 


Onde: 
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-| -> especifica a interface eth0 -> é a interface para o ping6 fe80::72f1 :a1ff:fec5:fc1c 
-> ipv6 a ser pingado 


Configurando um endereço ipv6 na interface: 

# ifconfig <interface> inet6 add <ipv6address>/<prefixlength> 
No servidor Debian: 

# ifconfig eth0 inet6 add ::192.168.0.1/96 

No servidor CentOS: 

# ifconfig eth0 inet6 add ::192.168.0.2/96 

Tente pingar entre as máquinas, a partir da CentOS: 

# ping -I eth0 ::192.168.0.1 

Para remover o endereço: 

# ifconfig <interface> inet6 del <ipv6address>/<prefixlength> 
Remova de ambos: Debian: 

# ifconfig eth0 inet6 del ::192.168.0.1/96 


CentOS: 
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# ifconfig eth0 inet6 del ::192.168.0.2/96 


11.7 Verificando portas abertas 


11.7.1 Comando netstat 


O comando netstat exibe o status das conexões, tabelas de rotas, estatísticas da 
interface, conexões mascaradas e participações em “multicast”. Vamos ver alguns 
exemplos do comando. 

O comando netstat sem parâmetros traduz os IP's para os nomes, por isso, desse 
modo, ele demora bastante para gerar um resultado. Resolve-se esse problema 
usando a opção “-n”: 

O comando exibe por padrão 4 colunas: 

Proto - Protocolo que pode ser TCP, UDP, TCPv6, ou UDPv6 

Local Address - Endereço local (seu PC) 

Foreign Address - Endereço remoto 

State - Exibe o estado da conexão de rede que podem ser CLOSE WAIT, CLOSED, 
ESTABLISHED, FIN WAIT 1, FIN WAIT 2, LAST ACK, LISTEN, SYN RECEIVED, 
SYN SEND, e TIME WAIT. 


Para saber mais sobre os estados das conexões consulte a RFC 793 http://tools.ietf.org/html/rfc 793 


-a : exibe todas as conexões e as portas TCP e UDP. 
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-n : exibe os números das portas ao invés do nome. 
-p : exibe o PID (Process ID). 

-l| : exibe os sockets que estejam ouvindo. 

-r : exibe a tabela de roteamento. 

-t : exibe os sockets TCP. 

-u: exibe os sockets UDP. 

Podemos fazer uso de varios parametros juntos: 


A opçäo “-n” exibe todas as portas e no formato numérico. 


# netstat -n 


As opções “-t” e “-I” exibem as conexões TCP e as portas disponíveis respectiva- 
mente para cada conexão com a sua máquina: 


# netstat -ntl 

A opção “-u” exibe as conexões UDP: 

# netstat -nul 

A opção “-p” exibe o número do processo e o nome do programa responsável. 


# netstat -nltup 
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À opçäo “-a” exibe tanto os socket que estejam ouvindo quanto aqueles que nao 
estejam. netstat -an 


A opção “-r” exibe a rota do sistema. netstat -rn 


11.7.2 Comando nmap 


O Nmap é um escaneador de hosts que usa recursos avançados para verificar o es- 
tado do seu alvo. Existem diversas formas e parametros a serem informados durante 
umavarredura. 


Métodos de Varredura 
-sP 


Ping scan: Algumas vezes é necessário saber se um determinado host ou rede está 
nar. Nmap pode enviar pacotes ICMP “echo request” para verificar se determinado 
host ou rede está ativa. Hoje em dia, existem muitos filtros querejeitam os pacotes 
ICMP “echo request”, então envia um pacote TCP ACK paraa porta 80 (default) e 
caso receba RST o alvo está ativo. A terceira técnica envia um pacote SYN e espera 
um RST ou SYN-ACK. 


-SR 

RCP scan: Este método trabalha em conjunto com varias técnicas do Nmap. Ele 
considera todas as portas TCP e UDP abertas e envia comandos NULL SunRPC, 
para determinar se realmente são portas RPC. É como se o comando “rpcinfo -p” 
estivesse sendo utilizado, mesmo através de um firewall ( ou protegido por TCP- 
wrappers ). 


-sS 


TCP SYN scan: Técnica também conhecida como “half-open”, pois não abre uma 
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conexäo TCP completa. E enviado um pacote SYN, como se ele fosse uma conexäo 
real e aguarda uma resposta. Caso um pacote SYN-ACK seja recebido, aporta esta 
aberta, enquanto um como resposta indica que a porta esta fechada. Avantagem 
dessa abordagem é que poucos iräo detectar esse scanning de portas. 


-ST 


TCP connect() scan: É a técnica mais básica de TCP scanning. É utilizada achamada 
de sistema (system call) “connect()” que envia um sinal as portas ativas.Caso a porta 
esteja aberta recebe como resposta “connect()”. É um dos scan mais rápidos, porém 
fácil de ser detectado. 


-SU 

UDP scan: Este método é utilizado para determinar qual porta UDP está aberta em 
um host. A técnica consiste em enviar um pacote UDP de 0 byte para cada porta 
do host. Se for recebido uma mensagem ICMP “port unreachable então a porta está 
fechada, senão a portapode estar aberta. Para variar um pouco, a Microsoft ignorou 
a sugestão da RFC e com isso a varredura de máquinas Windows é muito rápida. 
-SV 

Version detection: Após as portas TCP e/ou UDP serem descobertas por algum dos 
métodos, o nmap irá determinar qual o serviço está rodando atualmente. Oarquivo 


nmap-service-probes é utilizado para determinar tipos de protocolos,nome da aplica- 
ção, número da versão e outros detalhes 


-O 


Ativa a identificação do host remoto via TCP/IP. Irá apresentar versão do SistemaO- 
peracional e tempo ativo 


p<lista_de_portas> 
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Especifica quais portas devem ser verificadas na varredura. Por default, todas aspor- 
tas entre 1 e 1024 são varridas. 


-n 
Nao ira resolver nome de hosts a serem varridos. 

-V 

Modo verbose. Mostra tudo o que está se passando. 
Na máquina Debian: 


Cheque o sistema operacional utilizado: 

# nmap -v -n -0 localhost 

Cheque as portas abertas: 

# nmap -v -sT -sU localhost 

No servidor CentOS: Cheque em que porta o serviço ssh está escutando: 


# nmap -sV localhost 


11.8 Comando tcpdump 


O comando tcpdump mostra o tráfego de uma rede. Ele exibe a descrição do con- 
teúdo de pacotes numa interface de rede que case com uma expressão booleana. 
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Sintaxe: tcpdump <opções> <dispositivo> <expressao> 

Opções: 

-A Imprime cada pacote em código ASCII. 

-c Termina a execução após receber “n” pacotes. 


-D Exibe a lista das interfaces de rede disponíveis no sistema e que o tcpdump é 
capaz de capturar pacotes. Esta opção associa um número a cada interface o qual 
pode ser usado no lugar do nome da mesma, ex: 1 - eth0, 2 — eth1, 3 — any, 4 — lo 
(loopback); 


-i Recebe como parametro a interface ou o numero associado a ela. Se especificado 
“any” captura pacotes de todas as interfaces porém, sem ser no modo promiscuo. 


-n Nao converte endereços em nomes. (enderecos de host, numero de portas, 
etc.) 


-r Lê os pacotes a partir de um arquivo (que tenha sido criado com a opção -w). 


-s Define o tamanho de cada pacote a ser capturado. É interessante utilizar o valor 
1500 para que seja examinado o maior tamanho possível de pacote. 


-t Não exibe o timestamp em cada linha. 

-v Exibe a saída com mais detalhes. 

-vv Exibe a saída com mais detalhes ainda. 

-vvv Exibe a saída com informações ainda mais detalhadas. 


-w Escreve os pacotes em um arquivo que pode ser lido posteriormente com a opção 
-r. 


Linux System Administration Página 45 


11.8 Comando tcpdump 4Linux — www.4linux.com.br 


-x Exibe o conteudo do pacote no formato hexadecimal. 

-X Exibe o conteúdo do pacote nos formatos hexadecimal e ASCII. 

expressão Seleciona quais pacotes serão exibidos. Se não for definida nenhuma ex- 
pressão todos os pacotes serão exibidos. Do contrário somente os pacotes com os 
quais a expressão coincidir serão exibidos. A expressão consiste em uma ou mais 
premissas. As premissas usualmente consistem em um ID (nome ou número) prece- 


dido por um ou mais qualificadores.Existem três diferentes tipos de qualificadores: 


type (tipo) Especifica host, net, port e portrange. Ex: ‘host dragon’, ‘net 192.168’, ° 
port 22’, portrange 5000-5777’. 


dir (direção) Indica a direção dos pacotes a serem capturados. Podem ser: src, dst, 
src or dst e src e dst, que significam respectivamente origem, destino, origem ou 


destino e origem e destino. Se nada for definido assume origem ou destino. 


proto (protocolo) Define qual o tipo de protocolo será exibido. Os protocolos possíveis 
são: ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp e udp. Exemplos: 


Acesse um site e monitore com tcpdump: 
# tcpdump -i eth0 -n port 80 


Onde: 
-i -> interface, -n -> não resolve nomes, port -> identifica a porta de monitoramento. 


Acesse o servidor CentOS por ssh e monitore com tcpdump: 


# tcpdump -i eth0 -n port 50000 
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Antes de partir direto para o acesso remoto via telnet, é preciso explicar uma teo- 
ria importante já que vai ser trabalhado configuração de serviços como telnet, ssh, 
NFS. 


Os serviços de rede podem ser divididos em três tipos básicos: 


e xinetd 
e portmap 


* stand alone 


Os serviços tipo [xJinetd são aqueles que dependem do superdaemon de rede inetd 
— InterNET daemon. A versão mais atual do inetd é o xinetd — eXtended InterNET 
daemon. A funçäo de um superdaemon é apenas controlar alguns serviços que nao 
terao daemon proprio. 


Um daemon é um processo servidor que roda em segundo plano esperando requi- 
sições. Quando se fala de inetd e xinetd, fala-se do mesmo superdaemon, mas em 
algumas distros (como o Debian) ainda é o inetd. Só que o xinetd possui alguns 
recursos a mais como controle de acesso, capacidade de fazer logs e determinar 
horários para que o serviço esteja disponível. 


Esse superdaemon fica escutando nas portas que os serviços controlados por ele 


trabalham carregando o programa apropriado quando chega uma requisição na de- 
terminada porta. Exemplos de serviços tipo inetd: telnet, FTP, POP3 etc. Ao longo 
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do tempo, alguns dos serviços que eram controlados pelo inetd passaram a operar 
como stand alone a fim de contornar problemas associados ao inetd. 


Os serviços stand alone são aqueles em que cada tipo de servidor possui seu dae- 
mon próprio. Esta forma de trabalho é preferida hoje em dia pois possibilita um maior 
controle sobre cada serviço sem separado. Exemplos de serviços que operam dessa 
forma: SSH, httpd (daemon do Apache), FTP, dentre outros. 


Os serviços tipo portmap são aqueles que não possuem porta especifica para operar, 
como por exemplo, o NIS e o NFS. Estes serviços enviam uma chamada RPC — 
Remote Procedure Call — para a máquina servidora causando a execução de uma 
determina subrotina. Dessa forma quando um cliente faz a requisição de NFS a 
um servidor, ele está enviando um RPC tipo NFS e que quando chegar ao servidor 
será tratada como tal, carregando a subrotina apropriada para enviar a resposta ao 
cliente. 


11.9 Telnet — TELetype NETwork 


Telnet é um protocolo que pode ser utilizado tanto localmente quanto na internet. O 
telnet é considerado muito inseguro e se usar é altamente desencorajado. Ao longo 
dos anos vêm sendo descobertas diversas vulnerabilidades em suas implementa- 
ções e, provavelmente, há muitas outras que ainda não foram determinadas. 


* Por padrão, os dados enviados não são criptografados incluindo usuários e 
senhas 


* Não possui esquema de autenticação que possibilite garantir que a comunica- 
ção está se dando entre as partes envolvidas facilitando ataques do tipo man- 
in-the-middle. Essas falhas têm feito cair a utilização do protocolo telnet em 
favor do SSH. 
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Atualmente, o telnet ainda é bastante utilizado para realizar configurações em equi- 
pamentos de rede especificos e também para testar o funcionamento de serviços 
como um servidor de POP3 eliminando a necessidade de programas clientes espe- 
cializados. O telnet é controlado pelo superdaemon do Linux (inetd ou xinetd). Para 
que possa saber mais sobre as portas, basta dar uma olhadinha depois no seguinte 
arquivo: 


# cat /etc/services 


11.10 Instalação e configuração do Telnet 


Caso queira testar o telnet, a primeira coisa é instalar o servidor e o cliente: 


No Debian: 
# aptitude install telnet telnetd openbsd-inetd 


No CentOS: 


# yum install telnet telnet-server xinetd 


A configuração de um servidor telnet, na realidade, é feita configurando o [xlinetd. 
No Debian, o inetd é utilizado, em sistemas como o Red Hat o sistema utilizado é 
xinetd. 


No Debian: 


Verifique que a linha de configuração do telnet não está comentada no arquivo de 
configuração do inetd, se estiver comentada, então descomente: 
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1 # vim /etc/inetd. conf 


2 telnet stream tcp nowait telnetd /usr/bin/tcpd /usr/sbin/in.telnetd 


Descrição da opções: 


* telnet: nome do servidor, como está registrado em /etc/services; 


* stream: tipo de socket usado pelo protocolo, possíveis valores são: stream, 
dgram, raw, rdm e seqpacket; tcp tipo do protocolo usado; 


* nowait/wait aguardar/não aguardar : é significativo para tipos de soquete de 
datagrama (dgram), outros tipos de socket usam o valor nowait. 


* telnetd: usuário e grupo que irão controlar o processo de servidor; 
e /usr/sbin/tcpd: é o executável para o programa TCP Wrappers 


* /usr/sbin/in.telnetd: é o programa que irá lidar com as informações da conexão. 


Se a linha do telnet não estiver comentada significa que o serviço já está habilitado. 
Para garantir que o telnet seja iniciado, reinicie o daemon do inetd. Para reiniciar o 
daemon do inetd: 


1 # service openbsd-inetd stop 


2 # service openbsd-inetd start 


Faça agora uma check list para verificar se o serviço está funcionando: 


1 # netstat -anp | grep 23 
2 tcp 0 0 0.0.0.0:23 0.0.0.0:* OUÇA 2922/inetd 
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Se a porta estiver em estado de LISTEN ou OUCA significa que ela está ouvindo, ou 
seja, esta disponivel. Vocé pode ver se o processo do telenet esta ativo usando o 
fuser: 


# fuser -v 23/tcp 
23/tcp: root 2922 F.... inetd 


Para fazer um acesso remoto em um servidor que tem o telnet habilitado é muito 
simples: 


# telnet <ip do servidor> 


No CentOS: 


Em um sistema xinet haverá um arquivo de configuração para cada tipo de serviço e 
eles estarão no subdiretório xinetd.d no diretório /etc 


# vim /etc/xinetd.d/telnet 


{ 
disable = no 
flags = REUSE 
socket_type = stream 
wait = no 
user = root 
server = /usr/sbin/in.telnetd 
log_on_failure += USERID 
} 


Para reiniciar o daemon do xinetd: 


# service xinetd restart 
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Data e Hora do Sistema e Servidor de 
NTP 


12.1 Introdução Teórica 


Manter o sistema com o horário correto é uma tarefa muito importante e que muitas 
vezes é negligenciada pelos administradores. Sem o horário ajustado corretamente, 
fica difícil agendar tarefas a serem executadas periodicamente, ou até mesmo fazer 
a leitura dos logs e determinar em que horário um determinado evento ocorreu. Esse 
detalhe torna-se ainda mais importante quando temos um servidor de e-mail rodando 
na máquina. Imagine um e-mail que pode ser enviado a/de qualquer parte do mundo 
e, somando a diferença de fuso horário, um servidor com a hora errada, fica muito 
difícil determinar a hora na qual o e-mail foi enviado. 


Há basicamente duas formas de ajustar as configurações de horário do sistema: 
manualmente, utilizando os comandos “date” e “hwclock” ou usando o serviço de 
NTP - Network Time Protocol. 


O comando “date” é utilizado para mostrar ou ajustar a data e hora do sistema. 


Visualizar a hora: 


# date 


Acertar data e hora: 
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# date mmddHHMMYYYY 


Onde: 
m més , d dia, H hora, M minuto, Y ano 


EX: dia 15 de julho de 1983 às 13:15 


# date 071513151983 


Outra forma é: 


# date -s "07/15/1983 13:15” 


Para mudar somente a hora: 


ta dates =s I2 0 


Para mudar somente a data: 


# date -s "mm/dd/YYYY” 


Repare que ao mudar somente a data, é alterado o horário para 00:00. 
Já o comando “hwclock” é utilizado para mostrar ou ajustar a hora da BIOS da má- 


quina sendo conhecido como RTC - Real Time Clock. Este é o relógio que fica conti- 
nuamente em funcionamento mesmo que a máquina esteja desligada; de forma que 
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o horário esteja atualizado da próxima vez que a máquina for religada. Sua forma de 
utilização é bastante simples: 


Visualizar hora da Bios: 


# hwclock 


Ajustar o horário da BIOS utilizando o horário do sistema: 


# hwclock -w 
Ou 
# hwclock --systohc 


Ajustar o horário do sistema utilizando o horário da BIOS: 


# hwclock -s 
ou 
# hwclock --hctosys 


Ajustar o relógio da BIOS: 


# hwclock --set --date="mm/dd/YY HH:MM:ss” 


Outro ponto importante no que diz respeito às configurações de data e hora do sis- 
tema é a configuração da "timezone", ou seja, o fuso horário em que a máquina 
se encontra. Essa configuração pode ser efetuada utilizando os comandos “dpkg- 
reconfigure tzdata" (específico do Debian) e "system-config-date" em distribui- 
ções como CentOS, Suse e Gentoo. 
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12.1.1 NTP -Network Time Protocol 


O protocolo de sincronização de horários "NTP"foi desenvolvido a fim de possibilitar 
que qualquer computador ligado à internet possa ajustar sua data e hora automati- 
camente utilizando um servidor de “hora” preciso. O NTP é um serviço na camada 
de aplicação que utiliza o protocolo UDP na camada de transporte fazendo uso da 
porta 123 para realizar a sincronização de horários. 


O NTP criado em 1985, é um dos protocolos de internet mais antigos ainda em uso e 
pode atingir uma precisão de aproximadamente 200us(duzentos microssegundos). 


12.1.2 Organização em Strata 


A hierarquia do NTP é dividida em vários níveis, o conjunto deles é denominado 
"strata"e cada um deles corresponde a um "stratum". A raiz desse sistema é o de- 
nominado “stratum 0“ e que corresponde aos relógios nucleares espalhados pelo 
mundo, aos quais estão conectados os servidores de "stratum 1", ou seja, são eles 
que fazem o processamento da informação recebida do “stratum 0”. 


Conectados aos "stratum 1"há o "stratum 2"que em geral estão conectados a mais 
de um servidor de “stratum 1” e determinam de fato qual é a hora padrão com base 
nos dados recebidos dos "stratum 1 "utilizando o algoritmo do NTP. 


Os "stratum 2"responde ao "stratum 3"que responde ao "stratum 4"e assim por diante 
até atingir, no máximo, 16 níveis. Uma representação esquemática dessa estrutura 
pode ser vista na figura. 
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NTP Stratum Levels 
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A menos que estejamos montando um servidor para ser um "stratum 1", 2 ou 3, 
nunca devemos utilizar os servidores "stratum 1"ou 2 para sincronizarmos nossos 
servidores; mas sim acessar um "stratum 3". Dessa forma deixamos os niveis mais 
baixos para as máquinas que realmente precisam acessá-los. 


Ainda assim, nossa política de acesso aos "stratum 3"deve ser também bastante 
criteriosa. Se nossa rede possuí diversas máquinas, não há sentido em fazermos 
todas elas se sincronizarem em um "stratum 3", mas sim escolher uma de nossas 
máquinas para ser um “stratum 4” e nossos clientes realizarem a sincronização a 
partir dela. 


Sendo assim, vamos proceder com a configuração dos servidores e dos clientes. 
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12.1.3 Ajuste Manual de Horário 


Verifique qual é a sua localização geográfica no CentOS: 


# cat /etc/sysconfig/clock 


Verifique qual é a sua localização geográfica no Debian: 


# cat /etc/timezone 
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Caso esteja com um dos fusos horários incorreto, corrija-o com um dos comandos: 


CentOS: 


# rm -rf /etc/localtime 

# cd /usr/share/zoneinfo/America 
# In Sao_Paulo /etc/localtime 

OU 


# system-config-date 


Debian: 


# dpkg-reconfigure tzdata 


Verifique a data e hora do sistema e da BIOS: 


# date 
# hwclock 
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12.1.4 Trabalhando com NTP nos Clientes 


Instalar o cliente NTP no Debian: 
# aptitude install ntpdate 


No CentOS o comando ntpdate já vem instalado com o pacote "ntp”. 


Para as máquinas da rede que forem os clientes NTP, é possível fazer a sincronização 
do horário com o servidor por meio do comando "ntpdate", assim: 


# ntpdate [ip-do-servidor-na-rede] 


No Debian, caso não tenha um servidor NTP na rede, podemos simplesmente reini- 
ciar o "daemon"do "ntpdate": 


# ntpdate-debian 


O comando utilizará o(s) servidor(es) configurado(s) no arquivo /etc/default/ntpdate. 


12.1.5 Configuração do Servidor de NTP 


Agora que aprendemos a ajustar manualmente a hora do sistema e da BIOS, vamos 
utilizar o método mais preciso, ou seja, criar a estrutura de servidores e clientes de 
NTP. 


O servidor NTP é provido pelo pacote "ntp", tanto no Debian quanto no CentOS. 
Configure o servidor CentOS para fornecer as horas: 
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No CentOS verifique se o pacote ntp está instalado: 


# rpm -q ntp 


Caso nao esteja instalado, instale-o: 


# yum install ntp 


Vamos configurar o nosso servidor de NTP. Abra o arquivo de configuração: 


# vim /etc/ntp. conf 


Vamos precisar obter endereços de servidores oficiais de "NTP", para isso, podemos 
acessar o site http://www.ntp.br, que é a pagina do projeto NTP. Logo na página inicial 
haverá uma lista de servidores públicos, mantidos pelo projeto ntp.br. 





É sempre aconselhável utilizar mais de um servidor para que, caso ocorra algum erro 
em algum deles, o nosso sistema possa continuar com a configuração correta. 


No arquivo de configuração devemos localizar a linha para configuração do servidor 
com o qual sincronizaremos a nossa máquina: 


a.ntp.br iburst prefer 
b.ntp.br iburst 


c.ntp.br iburst 





Os parâmetros adicionais "iburst"fazem com que sejam enviados oito pacotes em vez 
de apenas um durante a sincronização inicial e o parâmetro "prefer"faz com que a 
resposta de um servidor preferido seja descartada se ela diferir muito das respostas 
dos demais servidores, caso contrario, sera utilizado sem qualquer consideraçäo 
para outras respostas. 
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Vamos adicionar a linha especificando quais "hosts"poderão realizar sincronização 
com a nossa máquina: 


restrict 127.0.0.1 
restrict 192.168.200.0 mask 255.255.255.0 
disable auth 


A primeira restriçäo esta liberando requisiçôes vindas do "localhost"e a segunda da 
nossa rede. Foi desabilitada a autenticação por chaves também. Alguns arquivos 
importantes no Debian: 


* statsdir /var/log/ntpstats/ diretório onde vão ficar os logs de estatísticas do 
meu servidor NTP. 


Os principais logs do ntp são o loopstats, que apresenta as informações do loop 
local, ou seja, as variáveis do sistema, e o peerstats, que apresenta as informações 
de cada associação. 

loopstats 

Seu formato é o seguinte: 

day, second, offset, drift compensation, estimated error, stability, polling inter- 
val dia, segundo, deslocamento, escorregamento, erro estimado, estabilidade, 


e intervalo de consulta 


Exemplo: 


54475 73467.286 -0.000057852 31.695 0.000015298 0.006470 4 
54475 73548.286 -0.000084064 31.688 0.000017049 0.006471 4 
54475 73682.286 -0.000077221 31.678 0.000016130 0.006988 4 
54475 73698.286 -0.000077448 31.677 0.000015103 0.006550 4 
54475 73761.286 -0.000083230 31.672 0.000014275 0.006376 4 
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54475 73889.286 -0.000059100 31.665 0.000015846 0.006487 4 
54475 74004.285 -0.000045825 31.660 0.000015548 0.006324 4 
54475 74086.286 -0.000038670 31.657 0.000014762 0.006011 4 
54475 74156.285 -0.000052920 31.653 0.000014699 0.005759 4 
54475 74251.285 -0.000053223 31.649 0.000013766 0.005651 4 
54475 74268.286 -0.000062545 31.648 0.000013292 0.005298 4 
peerstats 


Seu formato é o seguinte: 


day, second, address, status, offset, delay, dispersion, skew (variance)dia, se- 
gundo, endereco, estado, deslocamento, atraso, dispersao, variancia 


Exemplo: 


54475 34931.294 200.20.186.75 9074 0.009958844 0.008390600 
0.000390895 0.000132755 


54475 34931.301 200.192.232.43 f0f4 0.000348814 0.015550265 
0.001120348 0.000023645 

54475 34932.303 200.189.40.28 fOf4 0.000810708 0.017701986 
0.188995109 0.000043145 

54475 34934.286 200.160.0.28 f0d4 0.000332344 0.000271801 
0.000620139 0.000037467 

54475 34935.286 200.160.7.165 9614 0.000003557 0.000216088 
0.000826694 0.000022076 

54475 34935.301 200.19.119.69 9334 0.002667663 0.015740055 
0.001858731 0.001733883 

54475 34935.303 200.186.125.200 f034 0.004857359 0.016764821 
0.000719509 0.000303380 

54475 34936.301 200.189.40.42 f0b4 -0.000738445 0.015510523 
0.000390094 0.000039731 

54475 34936.301 200.19.119.120 9434 0.000009164 0.015505927 
0.000447001 0.000030319 

54475 34938.301 200.192.232.28 f0f4 0.000363627 0.015584684 
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0.063231626 0.000020460 

54475 34939.286 200.160.0.8 f054 0.000368748 0.000334013 
0.000484437 0.000013953 

54475 34939.286 200.160.0.43 f034 0.000325615 0.000260201 
0.000849475 0.000039634 


A interpretaçäo dos arquivos de log fica bastante facilitada com o uso de graficos. E 
uma vez que se conhece seu formato fica muito facil gera-los. Varias ferramentas 
podem ser utilizadas para isso, mas recomenda-se o uso do "gnuplot". Foge do 
escopo desse site dar informações detalhadas sobre a instalação ou uso dessa fer- 
ramenta, então consulte http://www.gnuplot.info/ para mais informações. O software 
funciona em GNU/Linux, FreeBSD, Windows e outros sistemas. 





Segue um exemplo de uso, no GNU/Linux com interface gráfica, que permitirá aos 
interessados entender o processo: 


Cria-se um arquivo chamado deslocamento.txt com o seguinte conteúdo: 


set term gif 
set output "| display” 


set title “Deslocamento” 


+ + + + 


plot "/var/log/ntpstats/loopstats” using 2:3 t”deslocamento” with 
linespoints lt rgb "#d0d0d0"; 


Observe-se que o comando plot faz referência ao arquivo loopstats, e usa suas co- 
lunas 2 e 3, onde: 2 representa o tempo, no dia, em segundos; e 3 representa o 
deslocamento, em milisegundos. 


Executa-se o seguinte comando: 


# gnuplot deslocamento.txt 


E pronto, como a saida esta redirecionada para display, vé-se o gif gerado na tela: 
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driftfile /var/lib/ntp/ntp.drift arquivo onde ficara configurado o valor estimado de 
erro de frequência entre o relógio do sistema e o servidor de sincronia de "stra- 
tum"anterior. 


12.1.6 Monitorando nossa conexão NTP: 


O ntp traz consigo algumas ferramentas que permitem monitorar seu funcionamento. 
A mais importante é o ntpq. A seguir são apresentados dois comandos do ntpg que 
permitem visualizar algumas variáveis importantes do ntp: 


# ntpq -c pe 
Uma reposta normal se parece com essa: 


remote refid st t when poll reach delay offset 


jitter 


Pagina 14 Linux System Administration 


4Linux — www.4linux.com.br 12.1 Introdução Teórica 


*a.ntp.br 200.160.7.186 2 u 57 64 377 9.184 
-1.259 4.398 

+b.ntp.br 200.20.186.76 2 u 55 64 377 18.036 
0.391 4.413 

+c.ntp.br 200.160.7.186 2 u 51 64 377 36.675 


0989 3.3611 


Onde: 


A primeira coluna apresenta os tally codes, que significam o seguinte: * -> o system 
peer, par do sistema, ou principal fonte de sincronização; 


O -> O system peer, par do sistema, ou principal fonte de sincronização, mas apenas 
se a fonte for o sinal de um pulso por segundo (PPS); 


+ -> candidate, ou um relógio sobrevivente, indica que é uma boa fonte de sincro- 
nização e que está sendo utilizada no momento, juntamente com o par do sistema, 
para ajustar o relógio local; 


- -> outlyer, ou relógio afastado, indica que é uma boa fonte de sincronização, mas 
não sobreviveu ao algoritmo de agrupamento, ou seja, no momento há opções me- 
lhores e ela não está sendo utilizada; 

x -> falseticker, ou relógio falso, indica que não é uma boa fonte de sincronização, 
foi descartada já no algoritmo de seleção de relógios por discordar muito das outras 
fontes; 

. -> excess, excesso: a fonte foi rejeitada por não estar entre as 10 melhores; 
(espaço em branco) -> reject, relógio rejeitado porque não responde, porque há 
um loop na sincronização, ou porque ele apresenta uma distância na sincronização 


enorme. 


A seguir são apresentados os significados das demais colunas: 
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remote = Nome ou IP da fonte de tempo; 


refid = a referência (par do sistema) à qual o servidor de tempo remoto está sincro- 
nizado; 


st = o estrato da fonte de tempo; 


when = quanto segundos se passaram desde a última consulta à essa fonte de 
tempo; 


poll = de quantos em quantos segundos essa fonte é consultada; 

reach = um registrador de 8 bits que vai girando para a esquerda representado na 
forma octal, que mostra o resultado das últimas 8 consultas à fonte de tempo: 377 
= 11.111.111 significa que todas as consultas foram bem sucedidas; outros número 
indicam falhas, por exemplo 375 = 11.111.101, indica que a penúltima consulta fa- 


lhou; 


delay = atraso, ou tempo de ida e volta, em milissegundos, dos pacotes até essa 
fonte de tempo; 


offset = deslocamento, ou quanto o relógio local tem de ser adiantado ou atrasado, 
em milissegundos, para ficar igual ao da fonte de tempo; 


jitter = a variação, em milissegundos, entre as diferentes medidas de deslocamento 
para essa fonte de tempo. 


Enquanto o "ntpq -c pe” apresenta as variáveis relacionadas a cada associação, 
ou seja, a cada fonte de tempo, o "ntpq -c rl" apresenta as variáveis (globais) do 
sistema. 


# ntpq -c rl 


Saída do comando "ntpq -c rl": 
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assID=0 status=0644 leap none, sync ntp, 4 events, event peer/ 
strat chg, 

version="ntpd 4.2.4p8@1.1612-0 Tue Apr 19 07:08:18 UTC 2011 (1)”, 

processor="x86 64”, system="Linux/2.6.32-28-generic”, leap=00, 

stratum=3, precision=-20, rootdelay=10.710, rootdispersion=18.517, 

peer=15790, refid=200.160.0.8, 

reftime=d25da5f5.4450ebec Thu, Nov 3 2011 21:44:53.266, poll=6, 

clock=d25da712.870b54e3 Thu, Nov 3 2011 21:49:38.527, state=4, 

offset=-0.550, frequency=35.515, jitter=8.471, noise=0.604, 

stability=0.111, tai=0 


As mais importantes estäo indicadas a seguir: 

version -> versão do nip; 

stratum -> estrato do servidor local; 

precision -> precisão indicada com o expoente de um número base 2; 


rootdelay -> atraso ou tempo de ida e volta dos pacotes até o estrato 0, em milisse- 
gundos; 


rootdispersion -> erro maximo da medida de offset em relaçäo ao estrato 0, em 
milissegundos; 


refid -> o par do sistema, ou principal referéncia; 


offset -> deslocamento, quanto o relógio local tem de ser adiantado ou atrasado 
para chegar a hora certa (hora igual a do estrato 0); 


frequency -> erro na frequência do relógio local, em relação à frequência do estrato 
O, em partes por milhão (PPM). 
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Vamos determinar se a sincronização está funcionando corretamente. Para isso va- 
mos alterar a hora do sistema e depois iniciar o serviço de NTP: 


# date 010101012009 
# /etc/init.d/ntpd stop 


# /etc/init.d/ntpd start && tail -f /var/log/messages 


Agora, verifique a hora do sistema novamente e veja se funcionou: 


# date 


Configurando o client Debian para sincronizar com o servidor: 


# aptitude install ntp 


Adicione o servidor a lista de servidores e comente os demais: 


# vim /etc/ntp.conf 


# adicione na linha 15 e comente os outros server: 
server 192.168.200.100 iburst prefer 


Vamos determinar se a sincronização está funcionando corretamente. Para isso va- 
mos alterar a hora do sistema e depois iniciar o serviço de NTP: 


# date 010101012009 
# /etc/init.d/ntp stop 
# /etc/init.d/ntp start && tail -f /var/log/syslog 
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Agora, verifique a hora do sistema novamente e veja se funcionou: 


# date 


12.2 Acertando horario de verao 


O Decreto n° 6.558/08 (DOU de 09/09/2008), determina que o horário de verão sera 
fixo no Brasil e começará sempre a partir da zero hora do terceiro domingo do mês 
de outubro de cada ano, até zero hora do terceiro domingo do mês de fevereiro do 
ano subsequente. 


A única exceção para a regra é relacionada ao encerramento do horário de verão 
que, se porventura coincidir com o Carnaval, deverá ser adiado em uma semana. 


12.2.1 Configurando 


Verifique se existe no diretório /usr/share/zoneinfo/Brazil algum arquivo que contenha 
informações relativas a outros horários de verão (DICA: geralmente um arquivo com 
extensão .zic). 

a) Se não existir nenhum arquivo com tais informações então crie um novo, de nome 


"verao.zic"por exemplo, no diretório /usr/share/zoneinfo/Brazil/. Este arquivo deverá 
conter as seguintes linhas: 


# cd /usr/share/zoneinfo/Brazil 


# vim verao.zic 
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Rule Brazil 2012 only - Oct 20 00:00 1 S 
Rule Brazil 2013 only - Feb 16 00:00 0 - 
Zone Brazil/East -3:00 Brazil BR%ST 


Uma vez feitos os devidos ajustes no arquivo 'verao.zic' execute o comando ‘zic: 


# cd /usr/share/zoneinfo/Brazil/ 


# zic verao.zic 


Neste caso em particular o comando atualizara o arquivo East. 


Para verificar se as configurações corretas foram feitas, execute o comando "zdump", 
conforme segue abaixo: 


# zdump -v /usr/share/zoneinfo/Brazil/East |grep 201[23] 


Você deverá obter uma resposta como a que segue abaixo: 


Brazil/East Sun Oct 21 02:59:59 2012 UTC = Sat Oct 20 23:59:59 2012 
BRT isdst=0 gmtoff=-10800 

Brazil/East Sun Oct 21 03:00:00 2012 UTC = Sun Oct 21 01:00:00 2012 
BRST isdst=1 gmtoff=-7200 

Brazil/East Sun Feb 17 01:59:59 2013 UTC = Sat Feb 16 23:59:59 2013 
BRST isdst=1 gmtoff=-7200 

Brazil/East Sun Feb 17 02:00:00 2013 UTC = Sat Feb 16 23:00:00 2013 
BRT isdst=0 gmtoff=-10800 


Note que em "Sat Oct 20 23:59:59 2012"o sistema ainda não está no Horário de 
Verão (indicação BRT). No segundo seguinte as modificações do Horário de Verão 
entram em vigor, adiantando o localtime em uma hora: "Sun Oct 21 01:00:00 2012 
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BRST"(O horário mostrado ao usuário passará para 1 da manhã, e não para meia- 
noite, mostrando o adiantamento do horário). 


Em "Sat Feb 16 23:59:59 2012 BRST", o Horário de Verão terminará no segundo 
seguinte, com o localtime sendo então atrasado em 1 hora: "Sat Feb 16 23:00:00 
2012 BRT"(o horário mostrado ao usuário voltará para as 23:00). 


Cheque trocando a data: 

# date -s "10/20/2012 23:59:30’ 
Cheque novamente: 

# date -s "02/16/2013 23:59:30’ 


O horario tem de ser atualizado automaticamente quando for fazer 00:00. 


Linux System Administration Pagina 21 


Rsyslog 


12.3 Introdução Teórica 


A necessidade de registro das atividades dos usuários e serviços dos sistemas é 
notoriamente, muito importante para Administradores de Sistemas. A norma NBR 
ISO/IEC 27002 recomenda no item 10.10.1 as seguintes características de um sis- 
tema de logs: 

1. Identificação dos usuários; 

2. Datas e horários de entrada e saída de terminais; 


3. Hostname ou endereço IP, para serviços acessados via rede; 


4. Registro das tentativas de acessos aceitos e rejeitados. 


12.3.1 Organização do Rsyslog 
Cada linha do arquivo /etc/rsyslog.conf é organizada pela seguinte sintaxe: 


# facilidade.nível destino 


Vamos entender o que é cada um desses itens: 


22 
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facilidade - É usada para especificar que tipo de programa está enviando a mensa- 
gem. 


nível - Especifica o nível de gravidade da mensagem. 


destino - Especifica para onde deve ser mandada a mensagem de log. 


À Vamos entender cada uma delas. 


Facilidades do Rsyslog 


* auth - Mensagens de segurança/autorização. 


authpriv - Mensagens de segurança/autorização (privadas). 

e cron - Serviços de agendamento (cron e at). 

* daemon - Outros serviços do sistema que não possuem facilidades específicas. 
* ftp - Serviço de ftp do sistema. 

e kern - Mensagens do kernel. 

* Ipr - Subsistema de impressão. 

e Local0-7 - Reservados para uso local. 

* mail - Subsistema de e-mail. 


* news - Subsistema de notícias da USENET 
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security - Sinônimo para a facilidade auth. 


rsyslog - Mensagens internas geradas pelo rsyslog. 


user - Mensagens genéricas de nível do usuário. 


uucp- Subsistema de UUCP. 


* - Confere com todas as facilidades. 


Níveis 


emerg - O sistema está inutilizável. 


alert - Uma ação deve ser tomada imediatamente para resolver o problema. 


crit - Condições críticas. 


err - Condições de erro. 


warning - Condições de alerta. 


notice - Condição normal, mas significante. 


info - Mensagens informativas. 


debug - Mensagens de depuração. 


* - Confere com todos os níveis. 
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* none - Nenhuma prioridade. 
* error - Sinônimo para o nível err. 
* panic - Sinônimo para o nível emerg. 


* warn - Sinônimo para o nível warning. 


Destinos 


* arquivo - O Rsyslog enviará os logs para um arquivo. Essa opção é a mais 
comum. 


(|)- O Rsyslog enviará os logs através de um pipe. Muito usado para redirecio- 
nar logs à um terminal. 


* ((D) - Com a arroba, o Rsyslog enviará seus logs para um computador remoto, 
utilizando hostname ou endereço IP. 


e user1,user2 - Especificando o usuário, o Rsyslog enviará a mensagem para os 
usuários especificados. Múltiplos usuários são separados por vírgula. 


e *- Com o asterisco, o Rsyslog enviará os logs para todos usuários logados no 


momento, através do comando "wall". 


Arquivos importantes 


© Debian: Principal arquivo de log: /var/log/syslog Logs de controle do kernel: 
/var/log/messages Logs de depuração de “daemons”: /var/log/daemon.log 
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CentOS: Principal arquivo de log: /var/log/messages Logs de controle do kernel: 
/var/log/messages Logs de depuração de “daemons”: /var/log/messages 


Debian e CentOS: Logs utilizados pelo comando “last”: /var/log/wtmp Logs utilizados 
pelo comando “last”: /var/log/btmp Log utilizado pelo comando “lastlog”: /var/log/las- 
tlog Logs utilizados pelos comandos “w” e “who”: /var/run/utmp 


12.4 Configurando o sistema de Logs no cliente 
(Debian): 


1) Instale o pacote do “rsyslog” no Cliente: 


Se for Debian: 

# aptitude install rsyslog 
OU 

Se for CentOS: 

# yum install rsyslog 


2) Edite o arquivo de configuração do “rsyslog”, e ative as seguintes opções de 
Logs: 


# vim /etc/rsyslog.conf 

# Erros de login são enviados para o terminal 2: 
authpriv.error |/dev/tty2 

# Redirecionar todos os logs para o arquivo /var/log/tudo.log: 
*.* /var/log/tudo. log 

# Redirecionar a saída de logs do cron para o usuário aluno: 
cron.* aluno 


# Redirecionar todos os logs para um servidor remoto Debian e Centos 
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#Debian 
XX @192.168.200.101 
#CentOs 
*.* @192.168.200.100 


5) Reinicie o rsyslog: 


# /etc/init.d/rsyslog stop 
# /etc/init.d/rsyslog start 


6) Verifique o arquivo /var/log/tudo.log 


# cat /var/log/tudo.log 


7) Tente se logar como aluno no terminal 3, mas erre a senha, depois logue-se cor- 
retamente, em seguida veja o log de erro de login no terminal dois: 


He Cities AIT 


8) Reinicie o serviço do cron no terminal 1 como root e veja o log na tela do usuario 
aluno que está logado no terminal 3: 


# /etc/init.d/cron restart 
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12.4.1 Logs Centralizados, configurando um servidor de Logs 
(Server Debian) 


Primeiro, é necessario que o servidor seja habilitado para recebermos logs de outras 
máquinas, para isto, acrescente o parâmetro “-r’: 


# vim /etc/default/rsyslog 
Modifique o conteúdo do arquivo, acrescentando o parâmetro: 


RYSLOGD_OPTIONS="-c4,-r" 


À Depois, precisamos descomentar no arquivo as linhas: 


# vim /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514 


Crie uma entrada para redirecionar os logs para um arquivo: 


# vim /etc/rsyslog.conf 


*.* /var/log/tudo. log 
Reinicialize o serviço Rsyslog: 


# /etc/init.d/rsyslog stop 
# /etc/init.d/rsyslog start 


Certifique-se de que a porta está disponível para conexões remotas: 
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# nestat -lun | grep 514 


Verifique o log: 


# tail -f /var/log/tudo.log 


12.4.2 Logs Centralizados, configurando um servidor de Logs 
(Server CentOS) 


O CentOS vem com o pacote rsyslog instalado por padrão. 


# vim /etc/sysconfig/rsyslog 
#Acrescente a opção -r 
SYSLOGD OPTIONS="-r -m 0" 


Crie uma entrada para redirecionar os logs para um arquivo: 


# vim /etc/rsyslog.conf 
*.* /var/log/tudo.log 


Reinicialize o serviço rsyslog: 


# /etc/init.d/rsyslog stop 
# /etc/init.d/rsyslog start 


Certifique-se de que a porta está disponível para conexões remotas: 
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# nestat -lun | grep 514 


Verifique o log: 


# tail -f /var/log/tudo.log 


12.4.3 Rotação de Logs 


Com o tempo, os logs podem ocupar muito do espaço disponível na partição. Por 
isso, devemos configurar corretamente a política de rotação dos logs, ou seja, du- 
rante quanto tempo os logs serão armazenados no seu computador. 


Para isso, edite o arquivo “/etc/logrotate.conf”: 


# vim /etc/logrotate.conf 

# Definindo rotação de logs semanalmente 

weekly 

# Manter os logs de 4 semanas 

rotate 4 

# Criar um arquivo novo para cada rotação de logs 

create 

# Descomente caso queira compactar os logs em formato .gz 

compress 

# Todo arquivo dentro deste diretório será considerado como uma # 
configuração de log rotate. 

include /etc/logrotate.d 

# Configurações para wtmp e btmp 

/var/log/wtmp { 

missingok 


monthly 
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create 0664 root utmp 
rotate 1 

} 

/var/log/btmp { 
missingok 

monthly 
create 0664 root utmp 
rotate 1 

} 


# system-specific logs may be configured here 
Crie uma configuraçäo de “logrotate”: 

# vim /etc/logrotate.d/errors 

Inclua no arquivo o seguinte conteudo: 


/var/log/teste.err /var/log/teste.info ( 
daily 
size 5M 
sharedscripts 
postrotate 
/usr/bin/pkill -1 rsyslog 
endscript 
rotate 5 


} 


* /var/log/teste.err /var/log/teste.info - Os arquivos teste.err e teste.info serão 
rotacionados diariamente até 5 vezes, caso o arquivo tenha pelo menos 5M. 


* daily - O sistema de logs será diário. size 5M - Faz a rotação somente se o 
arquivo alcançar 5M. 
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* sharedscripts - Marca o início do bloco de comandos. 
* postrotate - Executa os scripts após aplicar a rotação aos arquivos. 


lusr/bin/pkill -1 rsyslog - Envia sinal 1 ao processo rsyslog. 


endscript - Encerra o bloco de comandos. 
* rotate 5 - Aplica a rotação aos arquivos 5 vezes. 


Adicione conteúdo aos arquivos para fazermos testes: 


# cat /var/log/x >> /var/log/teste.err 
# cat /boot/x >> /var/log/teste. info 


Podem aparecer mensagens de erros na tela, pois o comando cat não pode visualizar 
o conteúdo de diretórios. Para visualizar o tamanho dos arquivos: 


# du -sh /var/log/teste.x 


Verifique que: o arquivo teste.err tem menos de 5M. o arquivo teste.info tem mais de 
5M. 


Agora, execute 0 comando “logrotate” manualmente: 


# logrotate /etc/logrotate.conf 


Verifique que o arquivo teste.err foi rotacionado, mas o teste.info não. Isto porque o 
arquivo teste.info não atingiu os 5M necessários para o rotacionamento. 
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# ls -lh /var/log/testex 
Como forçar o rotacionamento dos logs: 
# logrotate -f /etc/logrotate.conf 


Repare que ao forçar o rotacionamento com a opção ”-f” todos os logs marcados 
para rotacionamento foram rotacionados independente do tamanho: 


# ls -lh /var/log/testex 


À No Debian o arquivo após o rotacionamento com compressão recebe a exten- 
são: ".1.gz"No CentOS o arquivo após o rotacionamento com compressão recebe a 
extensão: "$date + 
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Servidor SSH 


13.1 Introdução Teórica 


13.1.1 SSH 


Secure Shell ou SSH é o conjunto de padrões e o protocolo associado que per- 
mite estabelecer um canal seguro entre dois computadores. Ele utiliza o sistema de 
chave criptográfica pública para autenticar um computador remoto, podendo utilizar 
esse sistema de chaves, também para autenticar usuários. A idéia do SSH é prover 
confidencialidade e integridade dos dados trocados entre dois computadores usando 
criptografia e mensagens de autenticação codificadas (MACs). 


Esse protocolo é tipicamente utilizado para conectar-se à máquinas remotas e exe- 
cutar comandos, entretanto, há inúmeras outras funcionalidades como realizar tu- 
nelamentos, redirecionamento de portas, conexões X11 (interface gráfica) além de 


transferência de arquivos. 


Em geral, o SSH utiliza a porta 22/tcp e é a alternativa segura ao TELNET e FTP 
uma vez que eles não utilizam criptografia. 


13.1.2 Chaves de Criptografia Assimétricas 


Criar um par de chaves assimétricas tem basicamente duas funções: 
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* Aumentar o nível de segurança - “definindo uma frase senha”; 
* Facilitar a execução de scripts remotamente - “não definir uma frase senha”. 


A criação de chaves assimétricas consiste na geração de dois arquivos que contém 
sequências de caracteres aleatórios (pseudo) e que só têm funcionalidade se os dois 
trabalharem em conjunto. Ou seja, quando criamos um par de chaves será criada 
uma chave pública e uma chave privada. A chave privada é sua e absolutamente 
ninguém deve ter acesso a ela; a sua chave pública você coloca no servidor remoto. 
Quando você tentar estabelecer uma conexão ela só será possível se a chave privada 
se encaixar na chave pública. Com esse sistema, existe apenas uma única chave 
privada que se encaixa em uma única chave pública. 


Como só há um par que se completa, apenas quem possuir a chave privada poderá 
estabelecer uma conexão utilizando a respectiva chave pública. Uma ilustração do 
par de chaves assimétricas pode ser vista na figura: Quando criamos um par de cha- 
ves assimétricas devemos tomar o cuidado com a chave privada para que ninguém 
tenha acesso a ela. 


13.1.3 Acesso SSH 


1) Acessando uma máquina remota: 


O SSH possui diversas formas de utilização; a mais básica de todas serve para 
estabelecer uma simples shell remota: 


# ssh nome usuario remotoQip servidor 
Ou com a opção “-|” de login: 


# ssh -l1 nome usuario remoto ip servidor 
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Outra opção é se logar no servidor remoto com o mesmo nome de usuário que você 
está logado, desde que este mesmo usuário exista remotamente: 


# ssh ip servidor 


Acessar o servidor por ssh: 


# ssh aluno@192.168.0.1 


Ou: 


# ssh -l aluno 192.168.0.1 


Desconecte e conecte-se novamente sem colocar o nome do usuário: 


# ssh 192.168.0.1 


Determine qual é a porta utilizada pelo SSH: 


# nmap localhost 


A porta padräo do ssh é a porta 22. 


2) Execute um comando na maquina remota: 


# ssh aluno@192.168.0.1 Is -l /etc/yum/yum.repos.d 
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13.1.4 Copiando Arquivos Remotos 


13.1.5 Cópia maq LOCAL para maq REMOTA 


Para copiar arquivo: 

# scp arquivo usuarioCip de destino:/destino 

Para copiar diretório: 

# scp -r diretório usuarioQip de destino:/destino 
Copiando arquivo: 

# scp /home/aluno/arquivo aluno@192.168.0.1:/home/aluno 
Copiando diretório: 


# scp -r /home/aluno/diretorio aluno@192.168.0.1:/home/aluno 


13.1.6 Cópia maq REMOTA para maq LOCAL 


Para copiar arquivo: 


# scp usuarioQCip de origem(remoto):/arquivo /destino 
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Para copiar diretório: 

# scp -r usuarioQip de origem(remoto):/diretório /destino 
Copiando arquivo: 

# scp aluno@192.168.0.1:/home/aluno/arquivo /tmp 

Visualize o arquivo copiado: 

# ls /tmp 

Copiando diretório: 

# scp -r aluno@192.168.0.1:/home/aluno/diretorio /tmp 
Visualize o diretório copiado: 


# ls /tmp 


13.1.7 SSH com Chaves Assimétricas 


Quando criarmos o par de chaves assimétricas, sera criado um diretério /.ssh na 
home do usuario. 


Em nossa maquina local, sem ser via ssh, vamos criar o par de chaves: 
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Digite uma senha na passphrase, no exemplo colocamos 123456. 


# ssh-keygen -t rsa 

Generating public/private rsa key pair. 

Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 123456 

Enter same passphrase again: 123456 

Your identification has been saved in /root/.ssh/id_rsa. 
Your public key has been saved in /root/.ssh/id_rsa.pub. 
The key fingerprint is: 
c6:51:3e:75:0e:10:b7:98:5d:6d:81:5f:8a:8f:38:2a root@aula# 


The key’s randomart image is: 


+--[ RSA 2048]----+ 
| Eo+ | 
| o . 0 | 
| o | 
IESE: + | 
[E os | 
| * | 
|. 000 | 
| .o+o | 
| = | 
+----------------- + 


À Obs.: A passphrase pode ser desde uma senha "normal", com 6 ou 12 carac- 
teres, até uma frase complexa, sem limite de tamanho; o importante é que nao seja 
algo fácil de adivinhar. Caso a passphrase não seja definida o acesso remoto será 
sem senha. 


A partir daí, ao invés de pedir sua senha, o servidor envia um "desafio"encriptado 
usando a chave pública. Para respondê-lo, o cliente SSH na sua máquina precisa 
usar a chave privada, que por sua vez precisa ser destravada usando a passphrase. 
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Mesmo que alguém consiga roubar sua chave privada, não conseguirá conectar sem 
saber a passphrase e vice-versa. 


O comando gerará os arquivos ".ssh/id rsa"e ".ssh/id rsa.pub"dentro do seu dire- 
tório home, que são, respectivamente, sua chave privada e sua chave pública. O 
"ssh/id rsa"é um arquivo secreto, que deve usar obrigatoriamente o modo de acesso 
"600", para evitar que outros usuários da máquina possam lê-lo. Muitos servidores 


recusam a conexão caso os arquivos estejam com as permissões abertas. 


1) Verifique que as chaves foram criadas: 


# ls /root/.ssh 


id_rsa id_rsa.pub known_hosts 


Depois de gerar seu par de chaves, falta o comando final, que instala a chave publica 
no servidor, permitindo que ela seja usada para autenticaçäo: 


# ssh-copy-id -i ~/.ssh/id_rsa.pub usuario@ip_do_servidor 
Copiando a chave: 
# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.0.1 


Em resumo, o que o ssh-copy-id faz nada mais é do que copiar o conteúdo do ar- 
quivo ".ssh/id_rsa.pub", dentro do seu diretório home, para o arquivo ".ssh/autho- 
rized_keys"dentro do diretório home do servidor remoto, uma operação que também 
pode ser realizada manualmente em caso de problemas. 


Tente acessar o servidor: 
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# ssh root@192.168.0.1 


Enter passphrase for key ’/root/.ssh/id_rsa’: 123456 
Last login: Tue Jun 14 08:54:15 2011 from 192.168.0.100 


13.1.8 Acesso por SSH sem senha com ssh-agent 


O comando ssh-agent é usado para salvar as passphrases na memória, sem com 
isso abrir mão da segurança. Ele funciona como uma espécie de "cache", onde você 
digita a passphrase apenas uma vez e ela fica gravada na memória até que a sessão 
seja encerrada. A segurança não é prejudicada, pois a passphrase não é salva em 
lugar algum, fica apenas armazenada (de forma encriptada) em uma área protegida 
de memória, acessível apenas ao ssh-agent. Ao desligar o micro, tudo é perdido. 


# ssh-agent 

SSH AUTH SOCK=/tmp/ssh-dSVLR17117/agent.17117;export SSH AUTH SOCK; 
SSH AGENT. PID=17118; export SSH AGENT. PID; 

echo Agent pid 17118; 


Execute os comandos que exportam as variáveis criadas pelo comando ssh-agent: 


# SSH AUTH SOCK=/tmp/ssh-dSVLR17117/agent.17117; export 
SSH AUTH SOCK; 
# SSH AGENT. PID=17118; export SSH AGENT. PID; 


Adicione a chave: 


# ssh-add 
Enter passphrase for /root/.ssh/id rsa: 123456 
Identity added: /root/.ssh/id_rsa (/root/.ssh/id rsa) 
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Tente acessar o servidor sem colocar a passphrase: 


# ssh root@192.168.0.1 


13.1.9 Configurando o servidor SSH (CentOS): 


Há diversos parâmetros de configuração que podem ser alterados de forma a ajustar 
seus parâmetros de funcionamento. 


Vamos entender alguns desses parâmetros editando o arquivo de configuração do 
servidor de SSH. Edite o arquivo /etc/ssh/sshd config: 


Alguns parâmetros: 

Keyword Description Default AllowGroups Habilita acesso apenas para grupos espe- 
cificados * AllowUsers Habilita acesso apenas para usuários especificados * Deny- 
Groups Nega acesso apenas para grupos especificados none DenyUsers Nega acesso 
apenas para usuários especificados none 

Port - porta de acesso ao ssh 

PermitRootLogin - habilita/nega acesso do usuário root por ssh 

X11Forwading - habilita/nega acesso ao X 

Banner /etc/issue.net - habilita banner do issue.net 


LoginGraceTime - tempo para se logar no servidor 


Alterando o arquivo: 
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# vim /etc/ssh/sshd_config 
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$0penBSD: sshd config,v 1.73 2005/12/06 22:38:28 reyk Exp $ 


# This is the sshd server system-wide configuration file. See 


sshd_config(5) for more information. 


# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin 


# The strategy used for options in the default sshd_config shipped 


with 


# OpenSSH is to specify options with their default value where 


possible, but leave them commented. 


default value. 


AllowUsers suporte 
Port 2222 

#Protocol 2,1 

Protocol 2 
#AddressFamily any 
#ListenAddress 0.0.0.0 
#ListenAddress 


# HostKey for protocol version 1 
#HostKey /etc/ssh/ssh_host_key 

# HostKeys for protocol version 2 
#HostKey /etc/ssh/ssh_host_rsa_key 
#HostKey /etc/ssh/ssh_host_dsa_key 


Uncommented options change a 


# Lifetime and size of ephemeral version 1 server key # 


KeyRegenerationInterval 1h 
#ServerKeyBits 768 
# Logging 


# obsoletes QuietMode and FascistLogging 


#SyslogFacility AUTH 
SyslogFacility AUTHPRIV 
#LogLevel INFO 

# Authentication: 


LoginGraceTime 15 
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PermitRootLogin no 
#StrictModes yes 
#MaxAuthTries 6 


#RSAAuthentication yes 
#PubkeyAuthentication yes 
#AuthorizedKeysFile .ssh/authorized_keys 


# For this to work you will also need host keys in /etc/ssh/ 
ssh_known_hosts 

#RhostsRSAAuthentication no 

# similar for protocol version 2 

#HostbasedAuthentication no 

# Change to yes if you don’t trust ~/.ssh/known_hosts for 

# RhostsRSAAuthentication and HostbasedAuthentication 

#IgnoreUserKnownHosts no 

# Don’t read the user’s ~/.rhosts and ~/.shosts files 


#IgnoreRhosts yes 


# To disable tunneled clear text passwords, change to no here! 

#PasswordAuthentication yes 

#PermitEmptyPasswords no 

PasswordAuthentication yes 

# Change to no to disable s/key passwords # 
ChallengeResponseAuthentication yes 

ChallengeResponseAuthentication no 

# Kerberos options 

#KerberosAuthentication no 

#KerberosOrLocalPasswd yes 

#KerberosTicketCleanup yes 

#KerberosGetAFSToken no 

# GSSAPI options 

#GSSAPIAuthentication no 

GSSAPIAuthentication yes 

#GSSAPICleanupCredentials yes 

GSSAPICleanupCredentials yes 


# Set this to ’yes’ to enable PAM authentication, account processing 
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# and session processing. If this is enabled, PAM authentication 
will 
# be allowed through the ChallengeResponseAuthentication mechanism. 
Depending on your PAM configuration, this may bypass the setting 
of 
# PasswordAuthentication, PermitEmptyPasswords, and 
"PermitRootLogin without-password”. If you just want the PAM 
account and 
# session checks to run without PAM authentication, then enable this 
but set 
# ChallengeResponseAuthentication=no 
#UsePAM no 
UsePAM yes 


# Accept locale-related environment variables 

AcceptEnv LANG LC CTYPE LC NUMERIC LC TIME LC COLLATE LC MONETARY 
LC MESSAGES 

AcceptEnv LC PAPER LC NAME LC ADDRESS LC TELEPHONE LC MEASUREMENT 

AcceptEnv LC IDENTIFICATION LC ALL 

#AllowTcpForwarding yes 

#GatewayPorts no 

#X11Forwarding no 

X11Forwarding yes 

#X11DisplayOffset 10 

#X11UseLocalhost yes 

#PrintMotd yes 

#PrintLastLog yes 

#TCPKeepAlive yes 

#UseLogin no 

#UsePrivilegeSeparation yes 

#PermitUserEnvironment no 

#Compression delayed 

#ClientAlivelnterval 0 

#ClientAliveCountMax 3 

#ShowPatchLevel no 

#UseDNS yes 
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#PidFile /var/run/sshd.pid 
#MaxStartups 10 
#PermitTunnel no 
#ChrootDirectory none 

# no default banner path 


Banner /etc/issue.net 

# override default of no subsystems 

Subsystem sftp /usr/libexec/openssh/sftp-server 
Reinicie o serviço: 

# service sshd restart 

Agora para fazer o acesso da maquina remota ao servidor: 


# ssh -p 2222 suporte@192.168.0.1 


Onde: -p identifica a porta 


Como usuario suporte, determine qual é a porta utilizada pelo SSH: 


$ nmap -sV localhost 


Agora ele não consegue identificar a porta do ssh, pois você alterou a porta padrão, 
mas ainda existem parametros do nmap que conseguem identificar: 


$ nmap -p 0-65535 -sV localhost 
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A opção “-p” serve para passar um range de portas ou uma porta específica a ser 
escaneada. 


Ele ainda não identificou qual o serviço está sendo executado na porta, então colo- 
que a opção “-sV” para escanear a versão do programa: 


# nmap -sV -p 0-65535 localhost 


-S - escaneia -V - banner(mostra programa e versão) 


13.1.10 Cópia remota com porta diferente: 


# scp -P 2222 arquivo suporte@192.168.0.1: 


-P - porta 


Ao nao se definir um destino após os dois pontos “:” o arquivo ou diretório sera 
copiado para o diretório home do usuario remoto. 


13.1.11 Tunelamento SSH 


Uma forma simples de encriptografar protocolos que em condições normais não su- 
portam encriptação é usar o SSH para criar túneis seguros, ligando uma das portas 
da sua máquina à porta do servidor onde o serviço em questão está ativo. 


Por exemplo, se alguém se encontra dentro de uma instituição cuja conexão à Inter- 
net é protegida por um firewall que bloqueia determinadas portas de conexão, não 
será possível, por exemplo, acessar e-mails via POP3, o qual utiliza a porta 110, nem 
enviá-los via SMTP, pela porta 25. 


Página 16 Nome do curso 


4Linux — www.4linux.com.br 13.1 Introdução Teórica 


As duas portas essenciais são a 80, para HTTP e a 443, para HTTPS, as quais 
garantem uma navegação em páginas da Web sem restrições. 


Não há necessidade do administrador da rede deixar várias portas abertas, uma vez 
que conexões indesejadas e que comprometam a segurança da instituição possam 
ser estabelecidas através das mesmas. 

Contudo, isso compromete a dinamicidade de aplicações na Internet. Um funcionário 
ou aluno que queira acessar painéis de controle de sites, arquivos via FTP ou amigos 
via Instant Messengers, por exemplo, não terá a capacidade de fazê-lo, uma vez que 


as respectivas portas para seus funcionamentos estão bloqueadas. 


Para quebrar essa imposição rígida, porém necessária, o SSH oferece o recurso do 
Túnel. 


Acesse em seu navegador o ip do servidor: 
http://192.168.0.1 
Você verá o site da dexter.com.br. 


Por ssh vamos criar um túnel com esse servidor e mapear a porta 80 para a porta 
12345 na nossa máquina local: 


# ssh -Lporta local:servidor remoto:porta remota usuá 


rioeservidor remoto 


Lembre-se que estamos utilizando uma porta diferente da padrão, e que o único 
usuário que pode se conectar é o aluno: 


# ssh -p 2222 -L12345:192.168.0.1:80 alunoeIP DO SERVIDOR DEXTER 


Acesse o site no navegador localmente: http://localhost:12345 
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Para desconectar, deslogue do servidor. 
Outras opções: 


-f - O parâmetro -f"dentro do comando faz com que ele seja executado em back- 
ground, liberando o terminal depois que a conexão é estabelecida. 


-N - O parâmetro -N"faz com que o SSH apenas crie o redirecionamento da porta, 
sem abrir um terminal do servidor remoto. 


13.1.12 Mensagem em broadcast: wall 


O comando wall envia uma mensagem a todos os usuários logados no sistema. 
Este comando faz a leitura de um arquivo ou entrada padrão e escreve o resultado 
em todos os terminais onde existem usuários conectados. Somente o usuário root 
pode utilizar este comando. 


Não confundam o comando “wall” com o antigo “netsend” da Microsoft. A mensa- 
gem “broadcast” enviada pelo “wall”, é para todos os terminais conectados naquele 
determinado servidor, enquanto o “netsend” faz “broadcast” para todos os endereços 


ativos na rede. 


Enviando sua mensagem: 


# wall 
minha mensagem 


<ctrl+d><enter> 


1- Acesse o servidor por ssh 


2- Acesse o diretério onde ficam as imagens do site da aula: /var/www/intranet/- 
menu 
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3- Renomeie o arquivo home.png para home.original.png 
4- copie uma imagem do cliente para o servidor e substitua a imagem do home: ar- 
quivo a ser copiado: /usr/share/images/desktop-base/gnome-foot.png salve o arquivo 


com o nome de home.png 


5- Acesse o site e verifique se o ícone para ir para o home mudou. 
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TCP Wrappers 


13.2 Introducao Teorica 


Os “TCP Wrappers” são usados para aplicar regras de acesso a diversos serviços em 
seu servidor, podendo permitir ou negar conexões a eles. Eles são controlados por 
dois arquivos: “/etc/hosts.allow” - configuração de acessos permitidos para determi- 
nados IPs e “/etc/hosts.deny” - configuração de acessos negados para determinados 
IPs. TCP - Sigla para "Transmission Control Protocol". 


13.2.1 Entendendo o TCP Wrappers 


Existem dezenas de possibilidades de configuração para o tcp wrappers e você pode 
estudá-las em extensão através das páginas de manual “hosts access” e “hosts options”. 
Portanto, serão ilustrados apenas alguns casos interessantes do uso desta ferra- 
menta. 


As regras de controle de acesso, existentes nestes dois arquivos, têm o seguinte 
formato: 


lista de daemons: lista de clientes [: comando] 


lista de daemons: Lista de um ou mais nomes de daemons (como especificados 
no /etc/inetd.conf), ou curingas. 
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lista de clientes: Lista de um ou mais endereços ou nomes de máquinas, padrões 
ou curingas utilizados para especificar quais clientes podem e quais não podem aces- 
sar O serviço. 


comando (opcional): É possível executar um comando sempre que uma regra casa 
com um padrão e é utilizada. 


Veja exemplos a seguir: 


Como citado anteriormente, curingas podem ser utilizados tanto na lista de daemons 
quanto na lista de clientes. Entre os existentes, pode-se destacar os seguintes: 


ALL - Significa todos os serviços ou todos os clientes, dependendo apenas do campo 
em que se encontra. 


LOCAL - Este curinga casa com qualquer nome de máquina que não contenha um 


caractere ponto “”, isto é, uma máquina local. 

PARANOID - Casa com qualquer nome de máquina que não case com seu endereço. 
Isto geralmente ocorre quando algum servidor DNS está mal configurado ou quando 
alguma máquina está tentando se passar por outra. 


Na lista de clientes podem ser utilizados nomes ou endereços de máquinas, ou então 
padrões que especificam um conjunto de máquinas. Se a cadeia de caracteres que 
identifica um cliente inicia com um ponto “”, um nome de máquina irá casar com 
este padrão sempre que o final desse nome casar com o padrão especificado. Por 
exemplo, se fosse utilizada a cadeia de caracteres “.minhaorganizaçäo”, o nome de 
máquina server.minhaorganização casaria com o padrão. 

Similarmente, se a cadeia de caracteres termina com um ponto “>, um endereço de 
máquina irá casar com o padrão quando seus campos numéricos iniciais casarem 
com a cadeia de caracteres especificada. Para exemplificar, se fosse utilizada a 
cadeia de caracteres “192.168.220.”, todas as máquinas que tenham um endereço IP 
que inicie com estes 3 conjuntos de números irão casar com o padrão (192.168.220.0 
ao 192.168.220.255). 
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Além destes métodos, é possível identificar um cliente através do IP/máscara de 
rede. Você pode especificar, por exemplo, “192.168.220.0/255.255.255.128”, e qual- 
quer máquina com endereço IP entre 192.168.220.0 e 192.168.220.127 casaria com 
o padrão. 


13.2.2 Suporte a TCP/Wrappers 


Para saber se um serviço tem suporte a “TCP/Wrappers” verifique suas bibliotecas: 


# which sshd 
# ldd /usr/sbin/sshd 


A existência da “libwrap” confirma o suporte a “TCP/Wrappers”: 


libwrap.so.0 => /lib/libwrap.so.0 (0xb7ef7000) 


Bloqueie todos os acessos ao seu servidor por “ssh”: 


# vim /etc/hosts.deny 
sshd: ALL 


Tente acessar seu servidor CentOS por ssh a partir da maquina Debian: 


# ssh -p 2222 192.168.0.1 


Não é possível devido a regra do TCP/Wrappers. Libere o acesso ssh ao seu servidor 
CentOS apenas para seu cliente Debian: 
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1 # vim /etc/hosts.allow 
2 sshd: 192.168.0.100 


Acesse seu servidor CentOS por ssh a partir da maquina Debian: 


1 # ssh -p 2222 192.168.0.1 
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Introdução ao uso do GPG 


14.1 Introdução teórica sobre criptografia 


O que é criptografia? 


Criptografia é o estudo dos princípios e técnicas pelas quais a informação pode ser 
transformada da sua forma original para outra ilegível, de forma que possa ser co- 
nhecida apenas por seu destinatário (detentor da "chave secreta"), o que a torna 
difícil de ser lida por alguém não autorizado. 


Assim sendo, só o receptor da mensagem pode ler a informação com facilidade. A 
quem interessa a criptografia e quem contribuiu e contribui para ela evoluir? Militares, 
diplomatas e pessoas que precisam guardar segredos e até amantes. 


O que é simetria? 


Simetria se refere à igualdade de propriedades existente entre dois lados opostos de 
uma mesma situação. 


Encriptar ou cifrar são termos usados para descrever a transformação de informa- 
ções legiveis/üteis em dados embaralhados (sem sentido), que não se aproveita. 


Decriptar ou decifrar são termos usados para descrever a transforamção de informa- 
ções sem sentido (embaralhadas) em informações legiveis/üteis. 
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14.2 Caracteristicas da criptografia simétrica 


* Simples e util; 
* Cobre situações nas quais uma parte esteja envolvida; 


* À pessoa que encripta é a mesma que decripta. 
Exemplos de Algoritmos Simétricos: 


* (Advanced Encryption Standard): Está presente nos softwares BitLocker, 
WinZip, no padrão WPA2 etc; 


* DES: Algoritimo criado pela IBM; 


* IDEA :International Data Encryption Algorithm 


Blowfish: Elaborado por Bruce Schneier em 1993, leva o nome de um peixe 
que no Brasil é conhecido como baiacu 


14.3 Características da criptografia assimétrica 


* Proporciona privacidade e autenticidade; 
+ Úteis na troca de e-mail; 


* Seu uso exige que cada um dos lados possua um par chaves: uma pública e 
outra privada 


Diferença entre Chave Pública e Privada 
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A chave pública de um usuário de e-mail deve ser de conhecimento das pessoas 
que lhe desejam enviar mensagens. Você pode disponibilizar publicamente, sem 
problemas. 


A chave privada deve sempre ser de conhecimento exclusivo do dono. Tome muito 
cuidado para que ninguém tome posse de sua chave privada! A par de chaves do 
remetente confere autenticidade, isto é, atribui legitimidade às informações trocadas 
entre partes diferentes. A par de chaves do destinatário confere privacidade, isto é, 
atribui sigilo às informações trocadas entre partes distintas. 


Logo, entre os interlocutores, o uso das duas chaves leva em conta que cada um 
possua a chave pública do outro. 


Mas afinal o que é esta tal chave? 


Seria uma senha grande ou um parâmetro para se encriptar e decriptar informa- 
ções. 


E qual deve ser o tamanho da chave em bits? 


Isto é relativo e deve ser levado em conta os seguintes fatores: 


* Produtividade; 


* Segurança 


Chaves com 512 bits oferecem melhor desempenho nas operações criptográficas, 
mas são facilmente quebradas. O uso de chaves grandes causa lentidão, mas pro- 
porciona muita segurança. 


Qual seria o tamanho "ideal"? 


1024 bits ou 2048 bits para os mais "precavidos". 
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14.4 GNUPG 


Vamos utililizar o software gnup. O gnupg é licenciado pela GPL e pode ser usado 
tanto no Linux, quanto no Windows e MAC OS X. O gnupg trabalha com critografia 
simétrica e assimétrica. Os algoritmos que o gnupg utiliza são: 


* RSA para criptografia assimétrica; 
* TripleDES, AES e Blowfish; 
* Funções hash MD5 e SHA; 
* ZIP ZLIB e BZIP2 para compressão 
Certifique-se que este pacote esteja instalado na sua distribuição. 


Para instalar no Debian: 


# aptitude install gnupg 


Para instalar no CentOS: 


# yum install gnupg 


Para verificar a versão do GnuPG (Debian e CentOS) 


# gpg --version 

gpg (GnuPG) 1.4.10 

Copyright (C) 2008 Free Software Foundation, Inc. 

License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/ 
gpl.html> 
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This is free software: you are free to change and redistribute it. 
There is NO WARRANTY, to the extent permitted by law. 


Home: ~/.gnupg 
Algoritmos suportados: 
Chave publica: RSA, RSA-E, RSA-S, ELG-E, DSA 
Cifra: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, 
CAMELLIA128 , 
CAMELLIA192, CAMELLIA256 
Dispersäo: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224 
Compressão: Uncompressed, ZIP, ZLIB, BZIP2 


14.5 Gerando chaves 


Acesse a maquina Debian com um usuario comum, e digite o comando abaixo para 
gerar a chave publica e privada. 


$ gpg --gen-key 
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc 


This is free software: you are free to change and redistribute it. 
There is NO WARRANTY, to the extent permitted by law. 


A utilizar o comando o diretório oculto .gnupg sera criado na home do usuário lo- 
gado. 


gpg: directory ‘/home/aluno/.gnupg’ created 


As chaves pública e privada serão criadas com os nomes "pubring.gpg"e "secring.gpg". 
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gpg: porta-chaves ‘/home/aluno/. gnupg/secring.gpg’ criado 
gpg: porta-chaves ‘/home/aluno/.gnupg/pubring.gpg’ criado 


Varias perguntas serão feitas durante a criação do par de chaves. Responda com as 
seguintes opções: 


Por favor selecione o tipo de chave desejado: 


Tecle 2 para selecionar DSA usada para assinaturas digitais e Elgamal usada 
para conferir privacidade às comunicações. 


DSA keys may be between 1024 and 3072 bits long. 

Tecle 1024 para selecionar o tamanho da chave 

Por favor especifique por quanto tempo a chave deve ser válida. 

Tecle 1y para definir o tempo de renovação das chaves por 1 ano 

Is this correct? (y/N) 

Tecle y para confirmar a informação 

You need a user ID to identify your key; the software constructs the user ID from the 
Real Name, Comment and Email Address in this form: "Heinrich Heine (Der Dichter) 
<heinrichh@duesseldorf.de>" 

Nome completo: Aluno Linux Administration 


Endereco de correio eletrônico: aluno@dexter.com.br 


Comentario: Maquina Debian 
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Você selecionou este identificador de usuário: "Aluno Linux Administration (Maquina 
Debian) <aluno@dexter.com.br>" 


Muda (N)ome, (C)omentário, (E)nderego ou (O)k/(S)air? O 
Vocé precisa de uma frase secreta para proteger sua chave. 
Digite a frase secreta e em seguida confirme a mesma 


Não ha bytes aleatórios suficientes. Por favor, faça algum outro trabalho para que o 
sistema possa coletar mais entropia! (São necessários mais 276 bytes) 


Agora o gpg fará vários cálculos para gerar uma chave pública e uma privada. 
Abra outro terminal com usuário root, e digite comandos de pesquisa e lista- 
gem de arquivos para gerar mais entropia 


gpg: /home/aluno/.gnupg/trustdb.gpg: banco de dados de confiabilidade criado gpg: 
key B28CCB9D marked as ultimately trusted chaves pública e privada criadas e as- 
sinadas. 


gpg: a verificar a base de dados de confiança gpg: 3 marginal(s) needed, 1 com- 
plete(s) needed, PGP trust model gpg: depth: O valid: 1 signed: O trust: O-, 09, 
On, Om, Of, 1u gpg: proxima verificação da base de dados de confiança a 2013-07- 
12 pub 1024D/B28CCB9D 2012-07-12 [expires: 2013-07-12] Key fingerprint = A125 
D989 OEFC 74E2 6ED2 D309 3FC5 09C6 B28C CB9D uid Aluno Linux Adminis- 
tration (Maquina Debian) <aluno@dexter.com.br> sub 1024g/A40A66E8 2012-07-12 
[expires: 2013-07-12] 


14.6 Exportando uma chave publica 


Para exportar a chave publica do usuario para um arquivo, utilizae o comando abaixo 
com o usuário comum: 
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n 


$ gpg --armor --output ”chave_publica_aluno.txt” --export 


aluno@dexter.com.br” 


Visualize o conteúdo do arquivo que contém a chave pública através do comando 


cat: 


$ cat chave_publica_aluno. txt 


Version: GnuPG v1.4.10 (GNU/Linux) 


mQGiBE//AdORBAD1zDbqxM5Bqfqq2tq/LIVO1pYHPOvn4300VBSvbHyvNcGbOTGX 
Nw9bZ80ro0YB/15705zqLRQjuy7GO090U6SMjbg6U5e9GHSTrTy6YxQ3LZ5ZftIXgO 
p9awnnYv6ke2hTFhFRE53hVAL1 7N86QVomFNWJ JEKODKF+aeYZgIHMTvXwCgsykb 
M34ZOUJbISJIBW4SgcQiHTmUD/ jOPeL1d014ekhGQcp50ENoePz8ZJINhZe/f30Tg2 
qmtbeFWSqEQXNfrRXocO0eCfvluk93TIPMYOFWUHssKIILrLwSAiat6AMcHxpFTjK 
dxdbWcHNBr900+ddrsMVVe03jSkbX6rdd+271NcsAl+qzYN9ezUdDTv8iLacpt+lo 
REMtBACZ+ss+1iMIUOmvnH33qoXTEz9boo+Or0LEKHqYwppZn3p5GwnBxebOAME a / 
+0qZx20ANP j0E0POQAVIfF7I2SNSf+h1v4+0P/uWCpcYpzfXmSGovcmOKObLnycAW 
IGQ90uUTXQ5Ze3pW5WOmL3NFJ101lRezbcAqT5Z1qmcoAQnD6mC7RBQWx1bm8&gTGlu 
dXggQWRtaW5pc3RyYXRpb24gkKE1hcXVpbmEgRGViaWFuKSA8YWx1 bm9AZGV4dGVy 
LmNvbSSicj6I1aAQTEQIAKAUCT /8B3QIbAwWUJAeCEzgAYLCQEZHAWIGFQgCCQOLBBYC 
AwECHgECF4AACgkQP8UTxrkKMy516YwCggwMGttnNbIgmrUYKx6NdRyMa13YAnOnM 
hzMZgZmqQyvlWNn7iECMFY1 ZuQENBE // AdOQBADdQ8GM1hh9+ilWnSfoavffSMqd 
1tn69uBpEmGju2f+j92qY2/wZWeiYTCYZvU6TIfjqk6+0cozdyInpnhVXHHCodmN 
HSuJKFDd2T+gG85MI4yqI95AXgHgVbOZX9UTWacMmcAIDBmVlpPunZ3E3dxijd6w 
yCvWF 5mOcFiFNCtoowADBgQAvTjy8D5ANTyvTb4EAz9w4J+n40zlgebUVI45f7eU 
61wlu3m+/MCrUD8e5a3E7bqbkXPo3w48X1k4MtzgyUMhygVNaDd9b3CTcWIk6JnV 
5y5yXYDUSBxABJv+TTJbwg5tHdixXcl61FPkUeR1kdjmu1Rux6Sv7uD4siRz5m6uv 
ZpOITwWQYEQIADWUCT /8B3QIbDAUJAeEzgAAKCRA/ xQnGsozLnQP/AKCtFY87vAfc 
PeW/Oy8gsaa6igw7UgCf YMnwny2z1EeXQE/h9NSSRF 9dyCk= 

=utVZ 
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14.7 Dica de segurança 


Os arquivos pubring.gpg, secring.gpg e trustdb.gpg guardam chaves e informações 
referentes ao par. Guarde a cópia em um local de difícil acesso. 


Faça uma cópia dos arquivos do diretório /.gnupg 


$ Is .gnupg/ 
gpg.conf pubring.gpg pubring.gpg~ random seed secring.gpg 
trustdb.gpg 


Compatibilidade: O gnupg gera arquivos com extensão .gpg quando encripta. Um 
programa proprietário gera um arquivo com extensão .pgp. 


14.8 Importado uma chave pública 


Acesse a maquina CentOS com um usuário comum (diferente do aluno) e repita os 
procedimentos da sessão "Gerando chaves”, alterando as seguintes informações: 


* Nome completo 
* Endereço de correio eletrônico 


e Comentário 


Na maquina CentOS envie para o usuário Aluno da maquina Debian, o arquivo da 
chave pública através do comando scp: 


$ scp chave publica user centos.txt aluno@192.168.200.1: 
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Na maquina Debian, importe a chave de usuario do CentOS através do comando: 


$ gpg --import chave_publica_user_centos.txt 


Para listar as chaves importadas use 0 comando: 


$ gpg --list-keys 


Depois de adicionar o destinatario, defina a autenticidade associada a aquela chave 
(o grau de confiança): 


$ gpg --edit-key "Tux CentOS” 


Use o comando "trust"para definir o grau de confiança): 


Command> trust 


Please decide how far you trust this user to correctly verify other users’ keys (by 
looking at passports, checking fingerprints from different sources, etc.) 


Tecle 5 para definir que Confia totalmente 


Para sair da edição da chave use o comando quit: 


Command> quit 
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14.9 Encriptar arquivos com GPG 


Antes de enviar um arquivo ao usuario que importou sua chave publica, garanta a 
segurança na troca de informações encriptando o arquivo com o comando GPG. 


Na maquina Debian, use o comando abaixo para encriptar o arquivo lista secreta.txt 
usando a chave pública do usuário do CentOS: 


$ gpg --recipient "Tux CentOS” --output “lista secreta.txt.gpg” -- 


encrypt “lista secreta. txt” 


Envie o arquivo encriptado ao usuário da maquina CentOS: 


$ scp lista secreta.txt.gpg tux@192.168.200.2: 


14.10 Decriptar arquivos com GPG 


Na maquina CentOS, use o comando abaixo para decriptar o arquivo lista secreta.txt.gpg, 
informando sua frase secretao: 


$ gpg --decrypt-files "lista secreta.txt.gpg” 


Enter passphrase: 


Para verificar se ocorreu tudo com sucesso, liste o conteúdo do diretório 


$ Is 


lista secreta.txt lista secreta.txt.gpg 
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14.11 Criando assinaturas com GPG 


Cenário: Vamos supor que você quer enviar um arquivo de texto e que o destinatário 
deseja uma prova sua de que realmente foi você quem enviou. Uma assinatura não 
basta, ainda mais em um texto. 


Crie um arquivo chamado aviso.txt e digite uma frase: 


$ echo "Sua frase aqui” > aviso.txt 


Use o comando gpg para assinar um arquivo com a opção -clearsign: 


$ gpg --clearsign aviso.txt 


Enter passphrase: 


Liste o conteúdo do diretório para verificar o arquivo original (txt) e o arquivo assi- 
nado (.asc) 


$ Is 


aviso.txt aviso.txt.asc 

Visualize o conteúdo do arquivo assinado: 
$ cat aviso.txt.asc 

Hash: SHA1 

Sua frase aqui 


Version: GnuPG v1.4.10 (GNU/Linux) 
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7 [iEYEARECAAYFAkv+2 
y4ACgkQixXsqYEooo6D2QCFYSwWOZE3Yy6L1XeYspLxrOdw9e1cAoKpPCAOSDYZYY/ 
c8BkC9SzZY+gkO0P=DDzt 


O arquivo "arquivo.txt.asc"esta pronto para ser enviado, mas nao esta encriptado. 


Se ele nao esta encriptado, falta privacidade ou autenticidade? Privacidade. Se o 
arquivo ja esta assinado, existe sim autenticidade. Agora, eu posso disponibilizar o 
arquivo assinado no servidor de arquivos que Maria tem acesso ou enviar por email 
como anexo. 


Ou pode enviar o conteüdo do arquivo no corpo de uma mensagem, mas alguns 
clientes de e-mail tem problemas de codificação e isto pode gerar erros. O Gmail por 
exemplo utiliza a codificação UTF-8. 


O outro usuário ao receber o arquivo testará a assinatura com o comando: 


1 $ gpg --verify "aviso.txt.asc” 
2 gpg: Signature made Thu 12 Jul 2012 21:11:54 PM BRT using DSA key ID 
8128A28E Good signature from "Tux CentOS (Maquina 
CentOS) 
3 gpg: <tux@dexter.com.br>" 
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Compilacao do Kernel 


15.1 Introdução Teórica 


O centro através do qual todas distribuições são construídas é o “kernel” do sistema 
operacional GNU/Linux. Ele fica entre os programas de usuário e o hardware do sis- 
tema. É o “kernel” quem fornece suporte ao hardware, protocolos e alguns softwares. 
Vimos no capitulo de Módulos que “kerneis” genéricos baseiam-se na utilização de 
módulos, ou seja, o desenvolvedor compila um “kernel” básico e compila todo o resto 
em forma de módulos, de maneira que todos os suportes adicionais sejam adiciona- 
dos de forma modular. 


Quando compilamos um “kernel”, a idéia é torná-lo mais enxuto e seguro. Frequen- 
temente seremos forçados a realizar uma compilação a fim de adicionar o suporte a 
alguma funcionalidade que não veio habilitada por padrão. 


De certa forma, queremos passar de um esquema modular a um esquema em que 
a maioria, se não todas, as funcionalidades que iremos utilizar estejam “built-in” no 
“kernel”, ou seja, não modular, como pode ser visto na figura abaixo. 
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iptables 


Kernel Básico 


A perfeição seria ter um “kernel” bem compilado contendo apenas o conjunto de par- 
tes estritamente necessárias ao funcionamento do nosso servidor e não ter nenhum 
módulo externo compilado. Retiraríamos até o suporte a carregar módulos. 


Configurar um “kernel” manualmente é frequentemente tido como o procedimento 
mais difícil que um usuário de Gnu/Linux tem que fazer. Isso não é bem verdade, 
depois de configurar uns dez “kerneis” você nem lembrará que foi difícil :) Como tudo 
na vida é mais uma questão de prática do que de inteligência. 


No entanto, uma coisa é verdade: você deve conhecer muito bem seu sistema 
quando você começar a configurar o “kernel” manualmente. A maior parte das in- 
formações pode ser obtida utilizando o comando “lspci”. 
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15.2 Introdução ao Kernel versão 3 


A versao 3 do kernel foi lançada em 22 de Julho de 2011 em comemoraçäo aos 
20 anos do Linux, com alterações bastante técnicas incluindo suporte a mais dis- 
positivos, reduçäo na fragmentaçäo no sistema de arquivos Btrfs e um backend de 
armazenamento para o Xen. Outras mudanças aparecem com suporte mais amplo 
a placas de rede wireless, webcams, e até mesmo o Kinect da Microsoft. 


A versão 3.0 teve seu lançamento com 14,647,033 linhas de código, diferente de 
outras versôes, como pode ser comparada na lista abaixo: 


* Versão 1.0.0: 176,250 linnhas de código; 
* Versão 2.2.0: 1,800,847 linhas de código; 
* Versão 2.4.0: 3,377,902 linhas de código; 
* Versão 2.6.0: 5,929,913 linhas de código; 


* Versão 3.0: 14,647,033 linhas de código. 


15.3 Funcionalidades do Kernel 3.3 


Quais são as novas funcionalidades do Kernel 3.3? 


A versão 3.3 do Kernel trouxe muitas novidades significativas, e é esta a versão 
que sera instalada em nossa pratica. Acompanhe abaixo um resumo de algumas 
novidades: 


Suporte melhorado a sistemas de arquivos 


Linux System Administration Página 5 


15.3 Funcionalidades do Kernel 3.3 4Linux — www.4linux.com.br 


Redimensionamento do sistema de arquivos Ext4 mais inteligente e suporte a balan- 
ceamento e re-striping ao sistema de arquivos Btrfs, permitindo que a migração de 
RAIDs criados com o Btrfs seja pausada, cancelada e reiniciada após uma falha. 


Fusão com o projeto Android 


A fusão entre o Kernel Linux e o kernel modificado do Android, se torna realidade 
nesta versão, trazendo melhorias para ambos os projetos onde proporciona a me- 
lhora do suporte do sistema operacional em outras plataformas ou até mesmo rodar 
aplicativos dele usando o Kernel Linux. 


Melhor ligação em interfaces de redes 

Há um novo dispositivo que combina múltiplos dispositivos Ethernet em um único 
dispositivo virtual. Este dispositivo de rede virtual pode usar a técnica Round-Robin 
para dividir o tráfego de rede entre as múltiplas portas; alternativamente, uma porta 
designada de "backup ativo"pode assumir a conexão caso ocorram problemas com 
a conexão primária de rede. 

Open VSwitch 

O Open vswitch é uma implementação de software de um switch de rede de múltiplas 
camadas, onde está sendo mesclado na árvore principal do Kernel. Esta implemen- 
tação é projetada para cenários mais complexos, e especialmente para ser usado 
como um vswitch em ambientes de servidores virtualizados. 

Suporte a drivers 

Esta versão teve uma revisão melhorada no suporte do Kernel (hardware), para que 
houvesse progresso nos drivers de código aberto para a processadores AMD, Intel e 
processadores gráficos NVIDIA. 


Suporte de inicialização EFI 


Esta versão apresenta um esboço de inicialização EFI que permite que uma ima- 
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gem bzlmage x86, seja carregada e executada diretamente pelo firmware do EFI. O 
bzlmage aparece para o firmware como uma aplicação EFI. Tanto a BIOS e gerencia- 
dores de inicialização EFI podem carregar e executar a mesma bzimage, permitindo 
que uma única imagem de kernel possa trabalhar em qualquer ambiente de iniciali- 
zação. 


15.4 Conhecendo o hardware da maquina 


Vamos conhecer um pouco do hardware antes de iniciarmos a configuração do “ker- 
nel”: 


cat /proc/interrupts 
cat /proc/ioports 


cat /proc/meminfo 


o + + 


cat /proc/cpuinfo 


Dica LPI: Lembre-se: 


© /proc/interrupts - contém as informações dos canais IRQ; 
/proc/ioports - contém as informações “Input/Output”; 

/proc/meminfo - contém informações da memoria; 

/proc/cpuinfo - contém informações do processador; 

/proc/mtab - contém informações dos diretórios que estão montados; 


/proc/swaps - contém informações dos “swaps” em uso; 
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/proc/dma - contém informações dos canais de “DMA” em uso; 
/proc/filesystems - contém informações dos sistemas de arquivos; 


/proc/modules - contém informações dos módulos carregados; 


Para obtermos informações a respeito dos componentes “PCI” e “USB” conectados 
à máquina devemos instalar dois programas o “lscpi “e o “Isusb”: 


# aptitude install pciutils usbutils 


ba 
s 


; 


N 
K. 


# yum install pciutils usbutils 


Veja os dispositivos PCI e USB conectados à máquina: 


# lspci 
# lsusb 
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15.5 Configurar, compilar e instalar o Kernel 


Agora que vocé sabe as novidades do Kernel 3.3 e tem conhecimento do hardware 
da maquina, vamos colocar em pratica a implementaçäo da versao 3 do Kernel. O 
download sera feito no endereço do kernel.org, e a distribuição usada sera o Debian 
6. 


Antes de compilar qualquer versao do Kernel, comece instalando os pacotes abaixo 
para resolver as dependéncias durante a compilaçäo. 


# aptitude install make gcc g++ autoconf libncurses5 libncurses5-dev 


ncurses-base ncurses-bin ncurses-term 


» 
E 


q 
A 
4 


# yum install ncurses-devel 


# yum groupinstall "Development Tools” 


O proximo passo para compilarmos um “kernel” é fazer o download de seu código 
fonte a partir do site: 


& http://www.kernel.org 
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Seguindo a FHS acesse o diretório /usr/src para baixar a fonte do Kernel. 
# cd /usr/src/ 
Use o comando wget e baixe a versäo 3.3.3 usando 0 endereço abaixo: 


# wget -c http://www.kernel.org/pub/linux/kernel/v3.0/linux-3.3.3. 
tar.bz2 


Para desempacotar e descompactar use 0 comando tar no arquivo baixado 


# tar jxvf linux-3.3.3.tar.bz2 


Crie um link simbélico padronizando o nome linux como fonte do Kernel 


# In -s /usr/src/linux-3.3.3 /usr/src/linux 


# cd linux 


Um passo extremamente importante antes de configurar o nosso “kernel” é sempre 
adicionar uma EXTRAVERSION afim de organizar uma eventual estrutura de módu- 
los no “/lib”. 


Utilize o comando date para gerar uma “string de extraversion”: 


# date +”-%Y%m%dc1” 
-20120725c1 


Adicione essa “string” à variável “EXTRAVERSION” na “Makefile” do “kernel”: 
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# cd /usr/src/linux -3.3.3 
# vim Makefile 
EXTRAVERSION = -20120725c1 


Veja as opções da “Makefile” do “kernel”: 
# make help 


Maneiras de configurar o kernel: 


* make menuconfig: Escolha de opções usando interface ncurses; 

* make config: Configuração a base de perguntas e respostas no terminal; 
e make xconfig: Configuração modo gráfico feito em QT ; 

* make gconfig: Configuração modo gráfico feito em GTK; 


* make localmodconfig: Configuração a base de perguntas e respostas no ter- 
minal, onde é possível retirar módulos não utilizados do seu kernel! 


Se essa não for a primeira compilação desse “kernel”, é sempre recomendado reali- 
zar uma limpeza no diretório do fonte do “kernel”: 


# make mrproper 


mrproper -> remove todos arquivos gerados pelo comando make + arquivo config + 
varios arquivos de backup 


Inicie o processo de configuraçäo do “kernel”: 
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1 & make menuconfig 





A interface de configuraçäo fornece uma estrutura de menus e sub-menus nos quais 
devemos navegar afim de selecionar as opções que desejamos adicionar, remover 
ou compilar como módulos. 


Linux/i386 3.3.3 Kernel Configuration 
Arrow keys navigate the menu. <Enter> selects submenus --->, Highlighted letters 
are hotkeys. Pressing <Y> includes, <N> excludes, <M> modularizes features. Press 
<Esc><Esc> to exit, <?> for Help, </> for Search. Legend: [*] built-in [ ] excluded 
<M> module < > module capable 


Bus options (PCI etc.) ---> 

Executable file formats / Emulations ---> 
-*- Networking support ---> 

Device Drivers ---> 

Firmware Drivers ---> 

File systems ---> 


Kernel hacking ---> 

Security options ---> 
-*- Cryptographic API ---> 
-*- Virtualization ---> 

Library routines ---> 


Load an Alternate Configuration File 
| ave an Alternate Configuration File 


< Exit >< Help > 





Após salvar as configurações, podemos visualizar o arquivo gerado e copiá-lo para 
um lugar seguro: 


Enter a filename to which this configuration 
er be saved as an alternate. Leave blank to 
abort. 


.configã | 


< Help > 








1 # less .config 


Página 12 Linux System Administration 


4Linux — www.4linux.com.br 15.5 Configurar, compilar e instalar o Kernel 


# cp .config /boot/config-3.3.3-20120725c1 


Agora que esta tudo pronto, vamos compilar o kernel: 


# make CONFIG_DEBUG_SECTION_MISMATCH=y 


Dica: Caso seu processador possua varios nucleos otimize a compilaçäo através da 


flag “-j’. Exemplo: 


# make CONFIG_DEBUG_SECTION_MISMATCH=y -j4 


-j4: Executa a compilação do kernel em quatro processos simultâneos! 


Após compilar o “kernel” e seus módulos, vamos copiar os módulos para o diretório 
apropriado em “/lib/modules”: 


# make modules 


# make modules_install 


© Dica LPI: O Processo de compilação do “kernel”: make ; make modu- 
les install 


Depois de compilado o “kernel”, será gerado um arquivo da imagem (o bzimage) no 
diretório “/usr/src/linux-3.3.3/arch/XXX/boot”. 


Onde XXX é a arquitetura da máquina. 


Copie-o para o diretório “/boot”, com o nome de “vmlinuz”, este é o nome dado ao 
kernel: 
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# cd arch/i386/boot/ 
# file bzImage 
# cp bzImage /boot/vmlinuz -3.3.3-20120725c1 


A Se o nosso kernel tiver sido compilado com módulos que sejam extremamente 
necessários durante o boot, será necessário criar uma “imagem de boot”. 


Para isso, precisamos instalar o seguinte pacote no Debian: 
# aptitude install initramfs-tools 


Agora devemos construir nosso arquivo “initrd” no “/boot”: 


# mkinitramfs -o /boot/initrd.img-3.3.3-20120725c1 /lib/modules 
/3.3.3-20120725c1 


2 
s 


(D 
4 


& 


# mkinitrd /boot/initrd-3.3.3-20120725c1.img /lib/modules 
/3.3.3-20120725c1 
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Feitos esses procedimentos devemos configurar o nosso “Boot Loader”. 


Esta é parte mais simples! Se o Kernel tem o nome vmlinuz-versao no diretério /boot. 
Aos invés de criar uma configuração manual com a entrada do Kernel e initrd-img, 
apenas digite o comando abaixo e a entrada no Grub 1 ou 2 sera feita de forma 
automática: 


1 # update-grub 
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Gerenciadores de Boot 


16.1 Introdução Teórica 


Um “bootloader” é o software responsável por carregar o sistema operacional du- 
rante a inicialização do sistema. Há vários “bootloaders” diferentes disponíveis no 
GNU/Linux. O papel do “bootloader” é fornecer uma lista de opções de sistemas 
operacionais disponíveis na máquina e que podem ser carregados. Uma vez que 
o usuário. Escolheu qual sistema deseja “subir” o GRUB inicia o carregamento do 
“kernel” na memória “RAM” o qual passa a ter o controle sobre a máquina. 


Ao contrário da maioria dos programas que colocam seus arquivos de configuração 
no diretório “/etc” o “grub” coloca-os no diretório “/boot/grub”. 


16.1.1 GRUB (Padrão CentOS) 


Este é o Bootloader padrão do CentOS. Para que nosso novo “kernel”, possa ser 
inicializado, devemos configurar nosso “bootloader”. Veja agora como fazer isso no 
“Grub”. 


Embora seja "enjoado", o grub não é tão complicado como pode parecer à primeira 
vista. Vamos aproveitar a deixa para aprender um pouco mais sobre ele. 


O grub usa o arquivo de configuração "/boot/grub/menu.Ist" no Debian, no CentOS 
ele é um link para “/boot/grub/grub.conf”. Este arquivo é lido a cada boot, por isso 
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não é necessário reinstalar o grub ao fazer alterações, como no caso do lilo. 


Este é um exemplo de arquivo de configuração do grub: 


default 0 
timeout 5 
color cyan/blue white/blue 


splashimage=(hd0 ,0)/grub/splash.xpm. gz 


title CentOS 

root (hd0,0) 

kernel /vmlinuz-2.6.32-71.e161x86_64 ro root=/dev/VolGroup/1lv root 
initrd /initramfs-2.6.32-71.e161x86 64 


title Microsoft Windows 
root (hd0,2) 
makeactive # Se usar Windows7 comente esta linha. 


chainloader +1 


title Debian Squeeze 

root (hd0,3) 

kernel /vmlinuz-2.6.31 ro root=/dev/sda3 
initrd /initrd.img-2.6.31 


O CentOS é o default, por causa da opção "default 0"no início do arquivo. Do ponto 
de vista do grub, o CentOS é o sistema "0", o Windows é o sistema “1”, enquanto 
que o Debian é o sistema “2”. Note que ele conta os sistemas incluídos na lista a 
partir do zero. 


Se você quisesse que o Debian passasse a ser o sistema default, bastaria trocar 
"default O"por "default 2". O mesmo vale para os outros sistemas operacionais insta- 


lados. 


A linha "timeout 5"é um pouco mais cosmética. Ela diz que se você não pressionar 
nenhuma tecla na tela de boot, o sistema default será iniciado depois de 5 segundos. 
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Você pode aumentar ou diminuir o tempo a seu gosto. 


A linha "color cyan/blue white/blue"também é cosmética. Ela apenas indica as cores 
do texto e do fundo na tela de boot. Veja que as cores são definidas duas vezes. Da 
primeira você diz as cores que são usadas quando é exibida a mensagem de boot 
e na segunda as cores que serão usadas em micros onde não seja possível exibir a 
imagem de fundo. 


Completando, temos a linha "splashimage=(hd0,0)/grub/splash.xpm.gz", que indica 
a imagem de fundo que será exibida. No caso do CentOS é usado um arquivo de 
tema, que é composto por diversos arquivos dentro da imagem de fundo. 


O "(hd0,0)"dentro da opção diz a partição onde o CentOS está instalado, onde ele 
vai procurar o arquivo. Como pode ver, o grub usa uma nomenclatura própria para 
designar as partições do HD, o que acaba sendo o aspecto da configuração mais 
difícil de entender. 


No Linux os HDs e partições são acessados através de dispositivos especiais, lo- 
calizados dentro do diretório "/dev". Um HD IDE instalado como master na primeira 
porta IDE, é visto pelo sistema como "/dev/hda"e a primeira partição dentro dele é 
vista como "/dev/hda1". Se você usasse um HD serial ATA, então ele seria visto como 
"/dev/sda"e a primeira partição como "/dev/sda1". 


Se você está me acompanhando até aqui, sente e respire fundo, pois nada disso vale 
para o grub. Para "simplificar", os desenvolvedores decidiram adotar uma nomencla- 
tura própria, onde os HDs e partições são nomeados a partir do zero. 

Ou seja, o "/dev/hda1"ou “/dev/sda1” é referenciado na configuração do grub como 
"(hdo,0)"(primeiro HD, primeira partição). O "(hd0,2)"do exemplo seria referente à ter- 


ceira partição do primeiro HD, ou seja, faria referência ao "/dev/hda3"ou “/dev/sda3”. 


Em resumo, na nomenclatura adotada pelo grub temos: 


/dev/hda = 0 
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/dev/hdb 
/dev/hdc 
/dev/hdd 


Il Il Il 
wo NO a 


As partições dentro de cada HD são também nomeadas a partir do zero: 


/dev/hdal ou /dev/sdal = 
/dev/hda2 ou /dev/sda2 = 
/dev/hda3 ou /dev/sda3 = 
/dev/hda4 ou /dev/sda4 = 
/dev/hda5 ou /dev/sda5 = 
/dev/hda6 ou /dev/sda6 = 


Para o grub esta distinção entre hds não existe. O "/dev/sda1"continua sendo "(hd0,0)"dentro 
do grub. 


O que acontece então se você tiver um HD IDE e outro SATA na mesma máquina? 
Bem, aí depende de como eles estiverem configurados dentro do setup. O HD "pri- 
mário", ou seja, o que o BIOS acessa primeiro na hora de carregar o sistema, será 
visto como "(hd0)", independentemente de ser SATA ou IDE, enquanto o outro sera 
visto como "(hd1)". 


Uma forma de confirmar isso é checar o conteúdo do arquivo "/boot/grub/device.map" 
(com o sistema já instalado). Ele contém uma lista dos HDs detectados pelo grub, e 

o endereço atribuído a cada um. 

Agora que entendemos como o grub nomeia os HDs e partições, podemos ir ao 
que interessa, ou seja, entender como funcionam as múltiplas seções do grub, que 


permitem carregar cada sistema operacional. 


No exemplo, o HD está configurado da seguinte forma: 


/dev/sdal: CentOS 
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/dev/sda2: Windows 
/dev/sda3: Debian 


Esta configuração vem bem a calhar, pois permite explicar os casos mais comuns, 
ou seja, a seção referente ao CentOS, ao Windows e referente a outras distribuições 
Linux, no caso o Debian. 


Vamos começar com a seção do CentOS: 


title CentOS 

root (hd0,0) 

kernel /vmlinuz-2.6.32-71.e161x86. 64 ro root=/dev/VolGroup/1lv root 
initrd /initramfs-2.6.32-71.e161x86 64 


A linha "title" contém apenas o nome do sistema, da forma como ele irá aparecer na 
tela de boot. Não é preciso que o nome indique corretamente o sistema, você pode 
usar apelidos, o importante é apenas que um sistema receba um apelido diferente 
do outro. 


A linha "root" logo a seguir, indica a localização do /boot (no formato do grub), ou 
seja, onde o sistema esta instalado. Como o CentOS neste caso esta instalado na 
primeira partição do HD, usamos "(hd0,0)". 


A terceira linha, "kernel", indica o arquivo com o kernel, que será carregado no 
início do boot. O Kernel vai sempre dentro da pasta "/boot"e o arquivo tem o nome 
padrão de "vmlinuz”, seguido da versão, como "vmlinuz-2.6.32-71.el6lx86 64". Além 
de indicar a localização do arquivo, você pode incluir opções que serão passadas 
para ele no início do boot, por exemplo: "acpi=off", "vga=791"e assim por diante. 


A opção de acpi=off desabilita o gerenciador de energia acpi, já a opção vga=791 
indica a resolução de video que será usada no terminal. O número "791"indica 
1024x768, "788"indica 800x600 e se você substituir o numero pela palavra "normal", 
o terminal passa a usar a resolução de texto padrão, como nos monitores CGA ;). 
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Usando "vga=normal"o bootsplash exibido durante o carregamento do sistema tam- 
bém deixa de funcionar. 


Finalmente, temos a linha "initrd", que é opcional, permitindo indicar a localizaçäo 
de um arquivo initrd, que sera carregado junto com o Kernel. O initrd nem sem- 
pre é usado. Quando necessário, ele é gerado durante a instalação, incluindo mó- 
dulos de que o sistema precisará no início do boot. Se ele não estiver dentro da 
pasta "/boot"junto com o Kernel, não precisa se preocupar, pois ele não está sendo 
usado. 


Em seguida temos a seção referente ao Windows: 


title Microsoft Windows 
root (hd0,2) 
makeactive 


chainloader +1 


O Windows é um caso especial, pois ele não é carregado diretamente pelo grub. 
Em vez disso ele é inicializado em um modo chamado de "chainload", onde o grub 
simplesmente carrega o gerenciador de boot do Windows (que é instalado dentro da 
partição) e deixa que ele se encarregue de inicializar o sistema. Isso é indicado pela 
linha "chainloader +1". 


Isto simplifica as coisas, pois você precisa apenas indicar um nome ou apelido na 
linha "title"e indicar a partição onde ele está instalado na linha "root". No nosso 
exemplo, o Windows está instalado na terceira partição do HD, por isso o "(hd0,2)". 


A opção "makeactive" marca a partição do Windows como ativa, uma configuração 
que é necessária ao inicializar o Windows 95/98/ME, onde ainda é utilizado o MS- 
DOS na fase inicial do boot. Ela não é mais necessária no XP ou no Vista, mas, 
como também não atrapalha, é comum que ela continue sendo usada. 


Concluindo, temos a seção referente ao Debian, que pode ser usada (com as devidas 
modificações) também para outras distribuições Linux instaladas no HD: 
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title Debian GNU/Linux (testing/unstable) 
root (hd0,3) 

kernel /boot/vmlinuz-2.6.18 ro quiet vga=791 
initrd /boot/initrd.img-2.6.18 


Esta seçäo é muito similar à seçäo do CentOS, que vimos a pouco. O Debian neste 
caso está instalado na quarta partição, que no grub é vista como "(hd0,3)". O im- 
portante é indicar corretamente o arquivo com o Kernel, dentro da partição e o initrd 
(caso exista). 


Você poderia duplicar estas quatro linhas para incluir outras distribuições. Bastaria 
alterar a partição dentro da linha "root"e indicar corretamente o arquivo do Kernel e 
o initrd que seriam usados. 


Embora seja um tema um pouco chato de estudar, é importante conhecer pelo menos 
o básico sobre a configuração do grub, pois ele é usado atualmente em praticamente 
todas as distribuições, de forma que é um conhecimento que você vai acabar usando 
bastante. 


Continuando, a configuração feita no arquivo "/boot/grub/menu.Ist"é lido pelo grub 
a cada boot, por isso você não precisa se preocupar em regravar o grub a cada 
alteração no arquivo, como no caso do lilo. Em geral, você só precisa regravar o grub 
em caso de acidentes, como quando ele é subscrito acidentalmente, ao reinstalar o 
Windows ou instalar outra distribuição no mesmo HD. 


No caso das distribuições, Linux, quase sempre você tem a opção de instalar gra- 
vando o gerenciador de boot na partição, o que permite reinstalar sem subscrever o 
grub "titular". Aqui, por exemplo, temos um screenshot do instalador do Ubuntu: 
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O problema é o Windows, já que ele chega "chutando o balde”, gravando seu geren- 
ciador de boot na MBR sem nem te consultar. 


Isto acaba se revelando um grande problema, já que você perde o acesso ao Linux 
instalado no HD sempre que precisar reinstalar o Windows. 


Nestes casos, você pode regravar o grub dando boot com um live CD do linux. 
Dê boot pelo CD e abra um terminal como root. A partir daí, use o comando "grub"para 


entrar no prompt do grub, onde usaremos os comandos para regravar o gerenciador 
de boot: 





# grub 








Dentro do prompt, precisamos rodar dois comandos, especificando a partição onde 
o CentOS (ou a distribuição "dona"do grub) está instalada e o dispositivo onde o grub 
será instalado. 


Comece rodando o comando "root", que especifica a partição de instalação do sis- 
tema. No exemplo, o CentOS está instalado no "(hd0,0)", de forma que o comando 
fica: 
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grub> root (hd0,0) 


Falta agora o comando "setup", que especifica aonde o grub será gravado. Neste 
caso, estou gravando o grub na MBR do primeiro HD: 


grub> setup (hd0) 


Terminando, você pode sair do prompt do grub usando o "quit"e reiniciar o micro. 
Este é um exemplo de operação que é mais simples no grub. No lilo, era necessário 
montar a partição e abrir um chroot para conseguir regravar o gerenciador :). 


Mais um problema comum acontece quando você precisa configurar o grub numa 
máquina com vários HDs. Nestes casos, além de verificar como o grub detectou 
cada um, você precisa se preocupar em gravar o grub no MBR do HD correto. 


O problema é muito simples. Quando você possui mais de um HD na máquina, você 
configura uma ordem de boot no Setup do micro. O HD que estiver em primeiro na 
ordem de boot do setup, será usado para inicializar a máquina e, consequentemente 
será reconhecido pelo grub como "(hd0)". 


Se você instalar o CentOS no segundo HD, e o grub for instalado na MBR do segundo 
HD, o CentOS não vai inicializar depois de instalado, pois o BIOS do micro continuará 
lendo o MBR do primeiro HD. 


A solução no caso é bem simples. Mesmo que você instale o CentOS, ou qual- 
quer outra distribuição no segundo HD, tome sempre o cuidado de gravar o grub no 
MBR do primeiro HD. Se você está instalando o Debian (por exemplo), na partição 
/dev/sdb1 (a primeira partição do segundo HD) o "root", ou seja, o dispositivo aonde 
o sistema está sendo instalado será "(hd1,0)", mas na hora de gravar o grub, você 
indicaria o "(hd0)", que é o primeiro HD. 


Ao fazer isso manualmente pelo prompt do grub, você usaria os comandos: 
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# grub 

grub> root (hd1,0) 
grub> setup (hd0) 
grub> quit 


Note que isto é necessário apenas ao regravar o grub manualmente. Outra pegadi- 
nha é que quando você tem uma instalação do Windows no segundo HD (hd1,0 no 
grub), como em situações onde você compra outro HD para instalar Linux e instala 
o HD com o Windows como secundário, é necessário adicionar duas linhas na se- 
ção do grub referente ao Windows. Elas fazem com que a posição lógica dos dois 
HD seja trocada, fazendo com que o Windows pense que está inicializando a partir 
do primeiro. Sem isso, você tem um erro de "partição inválida"durante o boot e o 
Windows não é carregado. 


Ao adicionar as duas linhas, a seção referente ao Windows ficaria: 


title Windows 
root (hd1,0) 
makeactive 
chainloader +1 
map (hd1) (hd0) 
map (hd0) (hd1) 


16.1.2 Segurança no grub 


Para melhorarmos nossa segurança local, uma boa seria colocar senha no grub, 
então vamos fazer melhor, iremos colocar uma senha criptografada nele: 


# /sbin/grub-md5-crypt 
$1$q0ZwgzZO$BMy4amrK53Q0010RLg.W166ivy 
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Após digitarmos nossa senha ela é criptografada em mods, ai basta copiá-la e editar 
o arquivo /boot/grub/menu.lst. 


Adicione no começo do arquivo a seguinte linha: 
password --md5 N$1N$q0ZwgzZON$BMy4amrk53Q010RLg.W166ivy 


A importância de termos senha no Grub é que se o mesmo estiver livre de senha, 
qualquer pessoa na hora da inicialização pode editá-lo e inicializá-lo para ganhar 
poderes de root sem saber a senha. 


16.2 GRUB2 (Padrão Debian) 


Este é o bootloader padrão no Debian Squeeze. Na inicialização do computador o 
GRUB2 apresenta o menu e espera a atuação do usuário dentro do tempo fixado ou 
transfere automaticamente o controle para o sistema operacional. 


GRUB2 é um software Open Source. Ele é descendente do GRUB (GRand Unified 
Bootloader). 


Foi completamente reescrito para dar ao usuário flexibilidade e performance signifi- 
cativamente aumentadas. 


16.2.1 Melhorias 


As melhorias em relação ao GRUB incluem : 


- apoio de scripts - módulo de carregamento dinâmico - modo de recuperação - me- 
nus personalizados - temas - suporte ao menu gráfico - imagens iso de Live CD de 
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boot diretamente do disco rigido - nova estrutura de arquivos de configuraçäo - sem 
suporte a plataforma x-86 (tal como PowerPc) - suporte universal a UUIDs 


16.2.2 GRUB vs GRUB2 


O menu do GRUB2 parecera familiar aos usuarios do Grub mas ha muitas diferenças 
internamente. 


- pressione a tecla SHIFT para mostrar o menu durante o boot (no GRUB legacy 
formalmente ESC). - /boot/grub/menu.lst do GRUB legacy foi substituido por /boot/- 
grub/grub.cfg no GRUB2. 


nao ha "/find boot/grub/stage1"no prompt do grub. Stage 1.5 foi eliminado 


o principal arquivo de menu /boot/grub/grub.cfg não é para ser editado mesmo 
pelo “root”. 


grub.cfg é sobrescrito sempre que houver uma atualização, um kernel for adici- 
onado/removido ou o usuário executar update-grub. 


o usuário pode criar um arquivo personalizado em /etc/grub.d/40 custom com 
suas próprias entradas. Esse arquivo não será sobrescrito. 


o arquivo de configuração principal para alterar as configurações do menu é o 
/etc/default/grub. 


existem varios arquivos para configurar o menu - /etc/default/grub mencionado 
acima e todos os arquivos da pasta /etc/grub.d/. 


mudou a numeraçäo das partiçôes. A primeira partiçäo agora é 1 em vez de 0. 
O primeiro dispositivo no entanto continua O (não mudou). 
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* buscas automáticas para outros sistema operacionais como Windows sempre 
que update-grub é executado. 


* nenhuma mudança na configuração dos arquivos acontecerá até que o co- 
mando update-grub seja executado. 


16.2.3 Hierarquia de arquivos e diretórios 


/boot/grub/grub.cfg 


É o que mais se assemelha ao /boot/grub/menu.lst do GRUB mas diferentemente 
desse o grub.cfg não se destina a ser editado. Cada seção é claramente delimitada 
com “(### BEGIN)” e a referência do arquivo na pasta /etc/grub.d a partir da qual 
a informação foi gerada. grub.cfg é atualizado executando o comando update-grub 
e é automaticamente modificado quando há uma atualização ou instalação/remoção 
de kernel. 


Por padrão, e sempre que o comando update-grub é executado, este arquivo é feito 
“somente leitura”. Isto porque a intenção é que o arquivo não seja editado manual- 
mente. 

O usuário também verá uma infinidade de arquivos *. mod na pasta /boot/grub. Esses 
arquivos são da natureza modular do GRUB 2 e são carregados necessariamente 
pelo GRUB 2. 


letc/default/grub 


Esse arquivo pode ser editado e configurado. Detalhes da configuraçäo estäo mais 
adiante em Configurando GRUB 2. 


/etc/grub.d/ (diretório) 


Os arquivos nessa pasta sao lidos durante a execuçäo do comando update-grub e 
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suas instruçôes sao incorporadas ao /boot/grub/grub.cfg. 


A colocagao dos itens de menu no grub.cfg é determinada pela ordem em que os ar- 
quivos sao executados nessa pasta. Arquivos com numeral no inicio sao executados 
primeiro começando pelo menor. 10 linux é executado antes de 20 mentest que é 
executado antes de 40 custom. 


Entradas personalizadas podem ser criadas no arquivo 40 custom ou outro recém 
criado. 


Somente arquivos executáveis geram saída para o grub.cfg durante a execução do 
update-grub. 


Os arquivos default nesta pasta são : 





- 00 header: suas configurações normalmente são importadas de informações do 
letc/default/grub e os usuários não precisam mudar esse arquivo. 


- 05 debian theme : configura splash image, cor do texto, cor de realce e tema. Na 
ausência de splash image esse arquivo configura um tema monocromático para o 
menu inicial. 


- 10 hurd : não usada. 


- 10 linux : localiza kernels no root device para o sistema operacional em uso. 
Leva essa informação e estabelece os nomes apresentados no menu para estes 
kernels. 


- 20 memtest86+ : procura por /boot/memtest86+.bin e o inclue como opção no 
menu do GRUB 2. Não há opção para remover essa entrada do menu.Pode ser ini- 
bido removendo o executavel desse arquivo sudo chmod -x /etc/grub.d/20_memtest86+ 
e executando depois update-grub. 


- 30_os-prober : procura por Linux e outros sistemas operacionais.Resultados sao 
colocados no grub.cfg baseando-se nos scripts desse arquivo. O arquivo é dividido 
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em 4 seções representando os tipos de sistemas operacionais manipulados pelos 
scripts : Linux, Windows, OSX e Hurd. Variáveis nesse arquivo determinam o for- 
mato dos nomes exibidos no /boot/grub/grub.cfg e no menu do GRUB 2. Usuários 
familiarizados com scripts básico podem alterar essas variáveis e mudar o formato 
das entradas de menu exibidas. Alternativamente o usuário pode inserir uma entrada 
no /etc/default/grub a qual desativa esse script. 

40 custom : Para adicionar entradas de menu personalizado que serão inseridas 


no grub.cfg depois de update-grub. Mais informações sobre esse arquivo na parte 
de configuração. 


16.2.4 Configuração 


Alterações na configuração são normalmente feitas em /etc/defaul/grub e nos 
arquivos da pasta /etc/grub.d. 


O arquivo /boot/grub/grub.cfg não deve ser editado pelo usuário; mudanças nesse 
arquivo são feitas pelos scripts de configuração. 


Algumas das alterações mais comuns como OS/kernel default, menu timeout podem 
ser feitas pelo StartUp-Manager. 


O Arquivo /etc/default/grub é o principal arquivo de configuração para alterar as 
configurações padrão. 


Após a instalação as seguintes linhas podem ser alteradas pelo usuário : 
- GRUB DEFAULT 
Configura a entrada padrão do menu. 


Entradas podem ser numéricas ou “saved” (última usada). 
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- GRUB_DEFAULT=0 


Configura a entrada default pela posição. Como no GRUB a primeira entrada é zero, 
a segunda 1, etc, 


- GRUB_DEFAULT=saved 


Define a entrada de menu padrão com o que foi selecionado anteriormente (a ultima 
seleção). 


Se o menu é exibido durante a inicialização, a última entrada selecionada será re- 
alçada. Se nenhuma ação for tomada, esta seleção será iniciada no final do tempo 
limite ou se o menu está oculto. 

- GRUB DEFAULT="xxxx” 

Uma entrada de menu exata, incluida entre aspas, também pode ser usada. Neste 
caso, a localização no menu não importa. Exemplo: GRUB DEFAULT="Debian 
Squeeze” 

- GRUB_TIMEOUT= Configura o tempo. 

- GRUB HIDDEN TIMEOUT=0 O menu ficará oculto. 

- GRUB HIDDEN TIMEOUT=O0 

O menu não será oculto 


- GRUB HIDDEN TIMEOUT QUIET=true 


true = nenhuma contagem regressiva é exibida. A tela ficará em branco. false = Um 
contador será exibido numa tela em branco durante o tempo do GRUB HIDDEN TIMEOUT. 


- GRUB GFXMODE=640x480 Descomente essa linha para mudar a resolução. Ela 
fornece resoluções suportadas pela placa de vídeo do usuário (640x480, 800x600, 
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1280x1024, etc). aplica-se apenas a resoluçäo do menu de boot. 


Yv Dica: Definindo a mesma resolução do sistema operacional o tempo de inicia- 
lização diminuirá ligeiramente. 


Embora não seja necessário, o usuário também pode especificar a cor BitDepth 
anexando-o à configuração da resolução. Um exemplo seria 1280x1024x24 ou 640x480x32. 


O usuário também pode adicionar várias resoluções. Se o GRUB2 não pode usar a 
primeira entrada, ela irá tentar o próximo ajuste. 


As configurações são separadas por uma vírgula. Exemplo: 1280x1024x16, 800x600x24, 
640x480. 


Se utilizar uma splash image, certifique-se que a configuração da resolução e do 
tamanho da imagem são compatíveis. 


Se estiver usando uma entrada que produz uma mensagem “não encontrado” ao 
executar update-grub, tente adicionar ou alterar a cor BitDepth. 


Se esta linha está comentada (#) ou a resolução não está disponível o GRUB 2 usa 
a configuração padrão determinada pelo /etc/grub.d/00_header. 


- GRUB DISABLE LINUX RECOVERY=true Adicione ou descomente essa linha 
se não desejar o “Recovery” mode no menu. “Recovery mode” para apenas um 
kernel, fazer uma entrada especial em /etc/grub/40_custom. 


16.2.5 Entradas personalizadas 


GRUB2 permite ao usuário criar seleções de menus personalizados que serão auto- 
maticamente adicionados ao menu principal quando o comando update-grub é exe- 
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cutado. Um arquivo 40 custom vazio esta disponivel em /etc/grub.d/ para uso ou 
para servir de exemplo para criar menus personalizados. Aqui estao algumas consi- 
derações para menus personalizados: 


O nome do arquivo determina a ordem das seleções no menu. Nomes numérico são 
executados primeiro, seguido por nomes alfabéticos. 


Entrada 10_linux aparecera antes de 30_os prober, que sera colocado antes de en- 
tradas 40_custom, que ira preceder my.custom.entries. 


O usuario que desejar que as suas entradas de menu personalizado apareçam em 
primeiro lugar no menu principal pode nomear a pasta para 06 xxx que suas listas 
estarao em primeiro lugar no menu. 


O arquivo deve ser feito executavel : 


# chmod +x /etc/grub.d/filename 


O conteúdo desse arquivo é adiconado ao grub.cfg sem alterações quando o co- 
mando update-grub é executado. 


Ao contrário do grub.cfg, arquivos personalizados podem ser editados a qualquer 
momento, não são só leitura, e podem ser propriedade do usuário, se ele desejar. 
Os arquivos personalizados são estáticos. O conteúdo não será alterado, quando 
novos kernels são adicionados ou removidos. 


Se o arquivo personalizado coloca as entradas no topo do grub.cfg, o usuário poderá 
confirmar no /etc/default/grub (DEFAULT= x) após executar update-grub. Certifique- 
se se ainda aponta para a entrada de menu desejada. Para contar, a primeira entrada 
do menu no arquivo /etc/default/grub é 0. 
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16.2.6 Criando menus personalizados 


O usuario pode editar o arquivo default /etc/grub.d/40 custom ou criar um novo. A 
maneira mais fácil de criar o conteúdo de um menu personalizado é copiar uma 
entrada do /boot/grub/grub.cfg. Depois de copiado, o conteúdo do 40 custom pode 
ser adaptado a vontade do usuário. 


De acordo com o arquivo personalizado padrão da amostra (etc/grub.d/40 custom/) 
as duas primeiras linhas de um arquivo personalizado em /etc/grub.d devem ser: 


#!/bin/sh 


exec tail -n +3 $0 


podem ser copiadas entradas de menu existente no arquivo boot/grub/grub.cfg 
ou de um arquivo do GRUB legacy. Se for copiado do arquivo menu.lst do 
GRUB legacy: 


uma copia de backup deste arquivo pode estar na pasta /boot/grub se o usuario 
atualizou do GRUB para GRUB 2. 


as seguintes entradas do menu do GRUB legacy devem ser mudadas : 


title € mudado para menuentry. A linha deve terminar com ({) 


root muda para set root= 


kernel passa a ser linux 


qualquer designação de partições (sda4, sdb6) deve ser mudada porque no 
GRUB legacy a primeira partição é O e no GRUB2 é 1 (o primeiro disco continua 
sendo 0 igual ao GRUB legacy). 
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16.2.7 Regras para construçäo de menuentry 


* a primeira linha inicia com menuentry e termina com ({) 


* O que está entre aspas é o que vai aparecer no menu do GRUB 2. Edite como 
desejar 


* a última linha do menuentry deve ser ()) 
* não deixe espaços em branco no fim das linhas 


* a linha set root= deve apontar para a localização de inicialização do GRUB2 
(sdXY) 


* referência root da linha Linux deverá apontar para a partição do sistema. 


w Dica : Se GRUB 2 não encontra o kernel referenciado, tente substituir a UUID 
pelo nome do dispositivo (exemplo: / dev/sda6). 


Exemplo de menuentry : 


### BEGIN /etc/grub.d/10_linux ### 

menuentry "Debian Squeeze, Linux 2.6.31-15-generic” { 

recordfail=1 

if [ -n ${have_grubenv} ]; then save_env recordfail; fi 

set quiet=1 

insmod ext2 

set root=(hd0,0) 

search -no-floppy -fs-uuid -set 22290d2e-82c9-48d5-92c1-ce138634eedc 

linux /boot/vmlinuz-2.6.31-15-generic root=UUID=22290d2e-82c9-48d5 
-92c1-ce138634eedc ro vga=789 quiet splash 
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initrd /boot/initrd.img-2.6.31-15-generic 

a) 

#Essa é uma entrada de exemplo para uma partição com Windows: 
menuentry "Windows Vista” { 

set root=(hd0, 2) 


chainloader +1 


} 


16.2.8 Configurando fonte e cores 


Estas linhas estão contidas em /etc/grub.d/05 debian theme. 


A cor é definida pela linha abaixo. A primeira cor é a cor do texto, a segunda é a cor 
de fundo. 


set color" normal=black/black 


O código abaixo define a cor de entradas selecionadas. A primeira cor é a cor do 
texto em destaque, a segunda é a cor de fundo da linha selecionada. Se black é a 
segunda entrada, a linha de destaque será transparente e apenas o texto mudará de 
cor. 


set color highlight=magenta/black 


O black é a cor de transparência GRUB2 padrão . Altere apenas a cor do primeiro 
(ou seja, xxxxx /black), se utilizar uma imagem de splash. 


Se o segundo valor nesta linha é alterada para uma cor diferente de black a imagem 
splash será escondida atrás de um fundo de cor sólida. 
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16.2.9 Segurança no grub2 


Para melhorarmos nossa segurança local, uma boa seria colocar senha no grub2, 
entao vamos fazer melhor, iremos colocar uma senha criptografada nele, para isso 
temos que gerar uma senha criptografada: 


# (echo 123456 ;echo 123456) | grub-mkpasswd-pbkdf2 

Enter password: 

Reenter password: 

Your PBKDF2 is grub.pbkdf2.sha512.10000.1CCB58AE691A20A26872A50FF5D0 
ED4D1C872F8B3366548C3AA23F1B/35B5CB6498B672835C7A1FD3D10E3E8E8677776 
D71658264789132F72B08E66A4224FCD.C6B51DB03F 8665FD6B080EDF502DBAD2A20 
F3F1992FC878C3CDAE11E4AF82C6EA74A19469A7FB4C7F96275FA7DF3834EB/070EE 
D9FFAEBC9C84ADB9D272052A7 


Onde : (echo 123456 ;echo 123456) 123456 é a senha, caso não queira passar a 
senha no comando execute diretamente e preencha o prompt com a senha quando 
for solicitado: 


# grub-mkpasswd-pbkdf2 


Após digitarmos nossa senha ela é criptografada em sha512, aí basta copiá-la e 
editar o arquivo /etc/grub.d/00 header. 


Adicione no final do arquivo a seguinte linha: 


# vim /etc/grub.d/00 header 

cat << EOF 

set superusers="user" 

password pbkdf2 user grub.pbkdf2.sha512.10000.393F191284EF 
E4575DCFFE4D939635CFDDF63E254B86F0DB409C0EE6723691D24C0BB7 
3E0599CE6E39DD22EE5713816D155D0F 89EABCDBF0057DEB6DDE953401 
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.8037149B1F04504F84E019100C56D86816D3859ED/DD557CBEEBD2F95 
B5177CCC5C5947559092C4A5320E70B8AA07C81EEAE37711763589D525 
F77C54E10CF85E0F 


Atualize o grub2: 


# update -grub 


A importância de termos senha no Grub é que se o mesmo estiver livre de senha, 
qualquer pessoa na hora da inicializaçäo pode edita-lo e inicializa-lo para ganhar 
poderes de root sem saber 


16.3 Colocar Imagem no Grub2 


Para colocar uma imagem no grub2 é bem simples basta ter uma imagem valida, 
JPEG, PNG, TGA e JPG, e passar 0 seu caminho dentro de um arquivo e ja esta 
pronto. Vamos a prática, dentro do diretório home tem uma imagem jpeg, dexter.jpeg, 
vamos colocar ela no grub. Copie a imagem para o /boot/grub: 


cp /root/dexter.jpeg /boot/grub 


Entre no arquivo 05 debian theme na linha 146 e mude a imagem padrao do grub 
para a nova: 


# vim +146 /etc/grub.d/05_debian_theme 
Na linha onde 
ANTES 
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145 set background image 
COLOR HIGHLIGHT3” | 
146 set background image 

grub.png” || 
147 set_default_theme 


DEPOIS 


145 set_background_image 
COLOR_HIGHLIGHT}” | 
146 set_background_image 

147 set_default_theme 


"${WALLPAPER}" 
| 


"$LCOLOR NORMAL)" 
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"${ 


"/usr/share/images/desktop-base/desktop- 


"${WALLPAPER}" 


| 
"/boot/grub/dexter. jpeg” 


Pronto, agora basta atualizar o grub, ja vai estar valendo: 


# update-grub2 


"$LCOLOR NORMAL)" 


"$f 


16.4 Atualizando novas entradas no menu 


Execute o comando para inserir o novo “kernel” no arquivo de configuração do GRUB 


ou edite-o na mao: 


# update -grub2 


OU 


# vi /boot/grub/grub.cfg 
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1 menuentry "Debian GNU/Linux, with Linux 2.6.32-5-686’ --class 
debian --class 

gnu-linux --class gnu --class os { 

2 insmod part_msdos 

3 insmod ext2 

4 set root=’(hd0,msdos2)’ 

5 search --no-floppy --fs-uuid --set 8970340d-ac56-461b-815a 
-2388f9bdadd3 

6 linux /vmlinuz-2.6.32-5-686 root=UUID=661d7f7c-3bfc-4b9e 
-b6d3-9c56cda8/7d3a ro quiet 

7 initrd /initrd.img-2.6.32-5-686 


Após feitas essas alterações, reinicie o computador, e veja se o nosso Novo kernel 
"boota". 


Para adicionar automaticamente um kernel ao Bootloader o nome do kernel deve 
começar com vmlinuz e as imagens dos módulos com initrd ou initramfs. 


# update-grub 
ou 


# update-grub2 


2 
s 


KZ 
Tj 
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1 # grubby --title=CentOS --add-kernel=/boot/vmlinuz -3.2.1-20111225c1 
--initrd=/boot/initrd.img-20111225c1 --args="root=/dev/VolGroup/ 


lv. root” 
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